Ao utilizar os servidores oficiais da OpenAI, os criminosos garantem que os emails passem por filtros de segurança tradicionais, uma vez que a origem da mensagem é tecnicamente fidedigna.

O esquema baseia-se na exploração de campos de texto editáveis durante o registo de uma conta. Ao criar uma "organização", os burlões inserem URLs fraudulentos, números de telefone falsos ou mensagens alarmistas no campo destinado ao nome da empresa. Posteriormente, utilizam a ferramenta de convite de equipa para enviar estas informações diretamente para o email das vítimas, fazendo com que o conteúdo malicioso apareça em destaque no corpo de uma mensagem oficial.

Existem dois vetores principais identificados nesta campanha: o spam convencional e o vishing. No primeiro caso, os emails promovem serviços enganosos ou ofertas suspeitas. No segundo, as vítimas recebem notificações falsas sobre renovações de subscrições de valor elevado. Nestes casos, o objetivo é induzir o utilizador a ligar para um número de suporte falso, onde será convencido a fornecer dados sensíveis ou efetuar pagamentos indevidos.

A eficácia deste ataque reside na inconsistência visual que muitas vezes passa despercebida. O texto introduzido pelos atacantes costuma estar em negrito e destoa do modelo padrão de convite profissional da OpenAI. No entanto, a confiança depositada na marca OpenAI e a pressa do utilizador em resolver um suposto problema financeiro fazem com que muitos acabem por clicar em ligações perigosas sem verificar a coerência da mensagem.

Para mitigar estes riscos, a Kaspersky recomenda uma postura de ceticismo perante convites não solicitados, mesmo que pareçam vir de fontes reputadas. É crucial inspecionar URLs antes de qualquer clique e nunca utilizar números de telefone fornecidos em emails suspeitos para contactar o suporte de serviços. Em vez disso, os utilizadores devem procurar os canais de contacto oficiais nos sites das respetivas empresas e reportar qualquer atividade anómala à plataforma.

Especialistas sublinham que este caso serve de aviso tanto para utilizadores como para empresas tecnológicas. Enquanto os indivíduos devem reforçar a sua atenção e utilizar ferramentas de proteção com IA e autenticação multifatorial, as plataformas devem rever como os seus campos de introdução de dados podem ser abusados. A segurança digital em 2026 exige uma verificação constante, pois até serviços legítimos podem ser transformados em veículos para o cibercrime.