Da Redação: CISO Advisor
25/01/2026 – 11h02
Cibercriminosos passaram a explorar o recurso “invite your team” (convide sua equipe) da OpenAI para realizar campanhas de phishing altamente sofisticadas contra usuários corporativos. A prática foi identificada pela Kaspersky, que informou que os ataques se aproveitam do envio de mensagens a partir de endereços legítimos da OpenAI, o que permite que os e-mails burlem filtros tradicionais de spam.
De acordo com a empresa, os golpistas criam contas na plataforma e inserem links maliciosos ou números de telefone fraudulentos no campo destinado ao nome da organização. Ao enviar o convite, o próprio sistema da OpenAI gera uma notificação oficial contendo o nome adulterado, levando o destinatário a acreditar em falsas renovações de assinatura ou em supostas ofertas exclusivas, com o objetivo de roubar informações sensíveis.
Uso indevido de recursos legítimos aumenta a eficácia do phishing
A estratégia combina mensagens por e-mail com técnicas de vishing (fraudes por voz), pressionando as vítimas a agir rapidamente. Segundo Anna Lazaricheva, analista sênior de spam da Kaspersky, o episódio evidencia como funcionalidades de plataformas confiáveis podem ser transformadas em ferramentas de engenharia social, explorando a credibilidade de serviços amplamente reconhecidos, como o ChatGPT.
Os criminosos inserem textos enganosos, além de links ou números de telefone falsos, diretamente no campo “nome da organização”. O recurso “convide sua equipe” permite que os ataques sejam direcionados a endereços de e-mail específicos.
“Recomendamos que as empresas avaliem de que forma seus serviços ou plataformas podem ser explorados por atacantes por meio de campos personalizáveis”, alerta Lazaricheva. Ela ressalta que a inserção de conteúdo fraudulento em campos aparentemente inofensivos, como o nome da empresa, é uma forma eficiente de contornar mecanismos técnicos de proteção de e-mail.
O risco é ainda maior para organizações, pois o recurso possibilita o envio simultâneo do convite a vários funcionários, ampliando a superfície de ataque em uma única ação. A Kaspersky observa que, embora as mensagens apresentem falhas estruturais, os criminosos contam com a falta de atenção dos colaboradores diante de comunicações originadas de domínios verificados da OpenAI.
Para reduzir a exposição, especialistas recomendam a verificação cuidadosa de URLs antes de qualquer clique e a adoção obrigatória da autenticação multifator (MFA). Além disso, a conscientização dos usuários sobre o uso malicioso de campos de texto livre é essencial, já que a confiança irrestrita em remetentes institucionais se tornou um dos principais pontos vulneráveis na proteção de ativos digitais atualmente.
Fonte: acesso em 27/01/2026 às 07:33h
