Безопасность

Письмо от OpenAI прошло все проверки, и всё равно это была атака

В конце июня 2026 года команда Push Security рассказала историю, которую стоит знать каждому, кто работает с чувствительной информацией через ИИ-сервисы. Их сотрудникам пришла серия писем от OpenAI с приглашением вступить в организацию под названием «Push Security Inc». Письма были настоящими: пришли с легитимного адреса OpenAI, прошли все проверки подлинности почты, содержали фирменное оформление. Технически придраться было не к чему. И это была атака.

Ирония в том, что саму технику Push описали ещё в 2023 году и назвали её poisoned tenant, «отравленный арендатор». Три года она жила только на бумаге. Теперь её применили против авторов.

Что такое отравленный арендатор

Почти любой SaaS-сервис сегодня устроен вокруг организаций. Вы регистрируете «рабочее пространство», приглашаете туда коллег по email, платформа рассылает им приглашения от своего имени. Slack, GitHub, Atlassian, теперь и OpenAI, схема везде одинаковая.

Атакующий берёт эту механику и разворачивает против вас. Он создаёт организацию, называет её именем вашей компании и приглашает в неё конкретных сотрудников, чьи адреса нашёл при помощи заранее проведённой разведки. Приглашение уходит через почтовый сервер самой платформы. Для получателя это выглядит как рутинное рабочее письмо, потому что формально оно им и является.

Как это выглядело в случае Push

Письма приходили с адреса noreply@tm.openai.com, настоящего служебного адреса OpenAI. SPF, DKIM, DMARC, все проверки пройдены. В письме была одна строчка-предупреждение: домен пригласившего (gmail.com) не совпадает с вашим доменом. Одна строка в остальном безупречном письме от доверенного сервиса. Такое чаще всего открывают на автомате.

"О, у нашей команды появился новый сервис и я его могу использовать! Окей, пойду и посмотрю", - решает получатель письма и проходит по ссылке.

Ни пароля, ни второго фактора, ни какого-либо дополнительного подтверждения. Клик по ссылке в письме, и аккаунт уже в чужой организации.

Внутри обнаружилось следующее. Аккаунт злоумышленника был подписан именем гендиректора Push. Всем приглашённым выдали роль Owner, то есть полный административный доступ к организации. К биллингу была привязана карта Visa (вероятно, краденая).

Зачем это нужно атакующему

Резонный вопрос. Создать организацию, назвать её вашим именем, привязать карту, изучить конкретных людей и разослать точечные приглашения, это ощутимая работа. Ради чего?

Цель, скорее всего, данные. Расчёт строится на том, что кто-то из сотрудников начнёт гонять через подставную учётную запись реальные рабочие задачи. А в промпты на ИИ-платформу люди складывают самое ценное: исходный код, внутренние документы, клиентские данные, черновики расследований, стратегические планы. Администратор организации видит логи использования и обращения к API. То есть атакующий получает живую ленту вашей работы.

Привязанная карта решает одну задачу: убрать трение. Если бы биллинга не было, сотрудник упёрся бы в платный барьер при первой же попытке что-то сделать и пошёл бы выяснять внутри команды, кто вообще создал эту организацию. Оплаченный вперёд аккаунт снимает этот вопрос и лишает вас шанса заметить неладное.

Отдельно стоит помнить про ИИ-платформы как точку входа для вредоносных инструкций. Исследователи уже описывали атаки, где через функцию «поделиться чатом» в ChatGPT распространяли ссылки на вредоносные сайты и, потенциально, скрытые инструкции в общих проектах (по сути, prompt injection). Современный ИИ-ассистент всё чаще подключён к почте, календарю, облачным сервисам. Если человека удаётся заставить работать в чужом пространстве и подключить к нему свои сервисы, поверхность атаки становится огромной.

Почему обычные тренинги по фишингу тут не помогают

Особенно неприятной по сравнению с классическим фишингом делает то, что фишинговое письмо ловится системами защиты по понятным признакам: поддельный домен, кривая ссылка, битое вложение, неверная орфография. Здесь ничего этого нет. Домен настоящий, ссылка ведёт на настоящий OpenAI, вложений нет, письмо сгенерировано самой платформой. Блокировать нечего.

Стандартное «проверяйте отправителя и не кликайте по подозрительным ссылкам» тоже не срабатывает, потому что письмо не поддельное. Оно подлинное. Нужен другой навык: понимать, что приглашение вступить в организацию на любой платформе, это действие с последствиями для безопасности, и его надо проверять через внутренний канал до того, как вы нажали «принять».

Это не разовый эпизод

История Push вписывается в тренд, который только начинает набирать обороты. Атакующие научились использовать встроенные в сервисы механизмы приглашений и уведомлений как канал доставки социальной инженерии через доверенный источник.

В итоге, сегодня нужно учитывать, что любая платформа, которая позволяет кому угодно создать организацию с любым названием и разослать приглашения через свою почту, дарит атакующему доверенный канал доставки.

Для тех, кто работает с расследованиями, источниками, юридическими делами или просто с чувствительными данными, ставки здесь выше среднего. Мы и так активно пользуемся ИИ: расшифровка, черновики, перевод, анализ. Именно эта аудитория складывает в промпты то, что не должно утечь никуда и никогда. И именно по такой аудитории удобно бить точечно: в кейсе Push атака была адресной, злоумышленник заранее собрал рабочие адреса конкретных людей.

Если завтра вам придёт приглашение вступить в «вашу» организацию на OpenAI, Anthropic, GitHub или где угодно ещё, отнеситесь к нему как к возможной атаке, даже если письмо выглядит идеально.

Что делать

Проверяйте приглашения, а не только ссылки. Приглашение в организацию, это действие с последствиями. Прежде чем принять, подтвердите через отдельный канал (позвоните, спросите в рабочем чате), действительно ли эту организацию создавал кто-то из ваших. Нет создателя, приглашение в мусор.

Не кормите чужие пространства. Никогда не загружайте рабочие или чувствительные данные в ИИ-организацию, которую вы не создавали сами и не проверяли. «У нас вроде появился общий аккаунт» не основание.

Читайте предупреждение о домене. OpenAI показывает строчку о несовпадении домена пригласившего. Защита слабая, но она есть. Приучите себя её замечать.

Занимайте своё имя заранее. Если у вашей организации есть узнаваемое название, имеет смысл зарегистрировать его на ключевых платформах, даже если вы пока не собираетесь ими пользоваться. Так вы усложните жизнь тем, кто захочет выдать свой тенант за ваш. Работает не везде: на многих платформах одинаковых названий может быть сколько угодно.

Следите за членством в организациях. Для команд полезно понимать, в какие внешние пространства вступают ваши люди. В большинстве организаций такой видимости нет вообще, и это слепое пятно.

Короткая памятка

Если совсем коротко, запомнить нужно одно. Письмо может быть стопроцентно настоящим по всем техническим признакам и при этом оставаться частью атаки. Приглашение вступить в организацию, особенно на ИИ-платформе, проверяйте до клика.

← Все материалы