Une nouvelle technique de phishing a été identifiée, où des cybercriminels créent de fausses organisations sur ChatGPT pour usurper l’identité d’entreprises légitimes, telles que Push Security. Cette méthode vise à inciter les employés à rejoindre ces espaces de travail frauduleux, permettant ainsi aux attaquants d’accéder à des informations sensibles. (numerama.com)
Les attaquants exploitent l’infrastructure d’OpenAI pour envoyer des invitations par e-mail, rendant les messages difficiles à distinguer des communications officielles. Une fois l’invitation acceptée, les employés sont intégrés à un espace de travail contrôlé par les cybercriminels, où ils peuvent saisir des données confidentielles. L’objectif est de collecter des informations sensibles, telles que des codes sources, des documents internes ou des données clients. (numerama.com)
Cette technique, appelée « tenant poisoning » ou attaque du locataire empoisonné, a été théorisée par Push Security en 2023 et est désormais documentée dans la nature. Elle a été observée dans d’autres entreprises du secteur technologique et de la cybersécurité, indiquant une tendance croissante de ce type d’attaque. (numerama.com)
Les entreprises sont invitées à sensibiliser leurs employés à cette menace et à mettre en place des mes de sécurité appropriées pour se protéger contre ce type d’attaque.
