اختراقات جديدة تستهدف الشركات عبر ميزة “دعوة الفريق” في OpenAI

في صباح اعتيادي داخل صندوق البريد، تصل رسالة تبدو مألوفة للغاية. دعوة للانضمام إلى فريق العمل على منصة موثوقة، مرسلة من عنوان رسمي، بلا أخطاء لغوية فادحة، وبلا إشارات صريحة للخطر. هذا بالضبط هو المشهد الذي يستغله مهاجمون إلكترونيون اليوم، بعدما كشف باحثو كاسبرسكي عن حملة احتيال تستهدف مستخدمي OpenAI من خلال ميزة دعوة الفريق.

الهجوم لا يعتمد على برمجيات خبيثة معقدة، بل على استغلال ذكي لثغرة نفسية وتقنية في آن واحد. يقوم المحتالون بإنشاء حسابات شرعية، ثم يضعون روابط خادعة أو أرقام هواتف احتيالية داخل حقل اسم المؤسسة. بعدها تُرسل دعوات الفريق عبر نظام OpenAI نفسه، لتصل الرسائل من عناوين رسمية يصعب الشك فيها.

بهذا الأسلوب، تتجاوز الرسائل كثيراً من أدوات فلترة البريد، وتكسب درجة عالية من الموثوقية، ما يجعل المستخدم أقل ميلاً للتدقيق. هنا لا يكمن الخطر في اختراق تقني مباشر، بل في استغلال ثقة المستخدم في المنصة.

محتوى الرسائل يختلف، لكن الهدف واحد. أحياناً يُدّعى تجديد اشتراك بمبلغ مرتفع بشكل غير منطقي، وأحياناً أخرى تُعرض خدمات مزيفة أو روابط مشبوهة. في بعض الحالات، لا يكتفي المهاجمون بالبريد الإلكتروني، بل يتبعونه بمكالمات هاتفية، فيما يُعرف بهجمات التصيد الصوتي أو vishing.

المكالمة تضيف عنصراً جديداً من الضغط النفسي، نبرة عاجلة، تهديد ضمني بخسارة الحساب أو المال، ومحاولة لدفع الضحية لاتخاذ قرار سريع دون تفكير كاف. هذا الدمج بين البريد والمكالمة يعكس تطوراً واضحاً في أساليب الهندسة الاجتماعية.

الرسائل الجماعية تمنح المهاجم أفضلية واضحة. داخل الشركات، تصل الدعوة إلى عدة موظفين في وقت واحد، بعضهم قد يفترض أن الأمر مشروع لأن زميلاً آخر تلقى الرسالة ذاتها. هذا التضخيم الجماعي يقلل مستوى الشك، ويزيد احتمالية أن يستجيب أحدهم.

كما أن بيئات العمل المكتظة بالإشعارات والاجتماعات السريعة تخلق حالة من التلقي الآلي، حيث يُتعامل مع الدعوات الرقمية بوصفها خطوة روتينية وليست نقطة خطر محتملة.

يرى محللو كاسبرسكي أن هذه الهجمات لا تستهدف ثغرة برمجية بقدر ما تستهدف افتراضاتنا اليومية. نحن نثق بالمنصات المعروفة، ونفترض أن ما يصل عبرها خضع بالفعل لطبقات أمان كافية. ومع تزايد اعتماد الشركات على أدوات التعاون السحابي، تصبح هذه الافتراضات نقطة ضعف حقيقية.

القضية هنا ليست OpenAI وحدها. ما حدث يسلط الضوء على تحدٍ أوسع يواجه كل منصات العمل التعاوني، من البريد إلى أدوات إدارة الفرق. كل ميزة مصممة لتسهيل العمل يمكن أن تتحول إلى مسار هجوم إذا لم تُصمم مع افتراض إساءة الاستخدام.

في زمن تتداخل فيه الهوية الرقمية، الحسابات السحابية، والدعوات التلقائية، لم يعد الأمان مسألة إعدادات تقنية فقط، بل ممارسة يومية من الشك الصحي والانتباه. وربما السؤال الأهم ليس كيف نمنع الهجوم التالي، بل كيف نعيد تعريف ثقتنا بالرسائل التي تبدو رسمية أكثر من اللازم.