Les coulisses de l'arnaque aux factures d'OpenAI : explications sur l'utilisation abusive de SendGrid et le phishing par rappel téléphonique

23 janvier 2026
Kaseya
Sécurité du courrier électronique, Hameçonnage

Les cybercriminels ne restent jamais inactifs ; ils réinventent sans cesse leurs tactiques pour exploiter la confiance, la familiarité et les instincts humains. INKY d'observer des acteurs malveillants qui utilisent les plateformes de messagerie cloud et l'ingénierie sociale vocale pour contourner les contrôles de sécurité. Un exemple récent est celui d'une campagne de phishing qui a envoyé des centaines d'e-mails depuis un compte SendGrid piraté, lié à OpenAI, afin d'émettre des factures frauduleuses.

Protégez-vous contre les e-mails malveillants avec Kaseya Inky

Bloquez les attaques de phishing sophistiquées et les menaces par e-mail avant qu'elles n'atteignent les utilisateurs grâce à INKY

Commencer

Un e-mail se présentant comme une facture, prétendument envoyé par OpenAI, est arrivé de l'adresse [email protected] via SendGrid. Comme le message avait été envoyé depuis un compte SendGrid légitime d'OpenAI, il a passé avec succès les contrôles SPF, DKIM et DMARC pour openai.com. Il indiquait qu'un prélèvement de 763,99 $ avait été confirmé et exhortait le destinataire à appeler un numéro d'assistance pour le contester. Le message ne contenait aucun lien ni pièce jointe malveillante. Son seul appel à l'action était un numéro de téléphone. Cette conception permet à l'arnaque de passer à travers les passerelles de filtrage d'URL tout en exploitant la confiance que les utilisateurs accordent aux marques connues et aux conversations téléphoniques.

Fig. 1 : L'e-mail de hameçonnage sur le thème de la facture

Utilisation abusive de l'infrastructure SendGrid

Les plateformes légitimes de diffusion d'e-mails sont devenues des outils puissants pour les cybercriminels qui cherchent à se fondre dans le flux normal des communications professionnelles.

L'attrait de SendGrid pour les pirates informatiques

SendGrid est largement utilisé par les entreprises pour envoyer des e-mails transactionnels et marketing en grand nombre. Il offre un excellent taux de délivrabilité et des fonctionnalités avancées, telles que le suivi des clics et l'analyse des données.  Cependant, des cybercriminels exploitent des comptes SendGrid pour lancer des campagnes de phishing, en se faisant passer pour SendGrid lui-même et d'autres marques de confiance. La promesse d'un taux de délivrabilité de 99 % rend la plateforme attrayante pour les criminels. Un compte SendGrid compromis leur permet d'envoyer des e-mails usurpés qui passent les contrôles SPF/DKIM et semblent légitimes aux yeux des destinataires.

Compromission potentielle du compte SendGrid d'OpenAI

Les e-mails de phishing de cette campagne ne se contentaient pas d'usurper le nom d'OpenAI : ils ont été envoyés via un véritable compte SendGrid configuré sur le domaine openai.com. Les messages ont passé avec succès les contrôles SPF, DKIM et DMARC pour openai.com et contenaient des en-têtes spécifiques à SendGrid, ce qui indique que l'expéditeur disposait d'un accès authentifié au tenant SendGrid d'OpenAI.

Il existe plusieurs scénarios plausibles par lesquels les criminels auraient pu obtenir un tel accès :

  • Crackage massif de mots de passe et prise de contrôle de comptes: Twilio, la société mère de SendGrid, a reconnu que de nombreux comptes clients avaient été piratés et utilisés à des fins de spam. KrebsOnSecurity a rapporté qu’un nombre inhabituellement élevé de comptes clients SendGrid avaient vu leurs mots de passe piratés et vendus à des spammeurs, permettant ainsi à des criminels de lancer des campagnes de phishing et de diffusion de logiciels malveillants via les domaines de clients de confiance. Une fois qu’un compte SendGrid est piraté, les e-mails qui en résultent contournent les filtres anti-spam rudimentaires, car les destinataires font confiance à l’infrastructure de SendGrid.
  • Marché noir des identifiants SendGrid: les cybercriminels se livrent activement au commerce d'accès à des comptes SendGrid piratés. Le responsable de la sécurité de Twilio a reconnu que l'entreprise avait constaté une augmentation du nombre de comptes compromis et que l'authentification multifactorielle (MFA) n'était pas obligatoire. Les chercheurs notent que le marché de ces comptes est alimenté par la réutilisation des mots de passe : les attaquants ciblent les utilisateurs qui réutilisent leurs identifiants sur plusieurs sites, puis revendent les identifiants valides. Un vendeur, opérant sous le pseudonyme « Kromatix », proposait plus de 400 comptes SendGrid compromis, dont le prix était fixé en fonction du volume mensuel d'e-mails qu'ils pouvaient envoyer. Ces comptes volés peuvent être utilisés pour générer des clés API et envoyer en masse des e-mails de phishing à haut taux de délivrabilité.
  • Hameçonnage et vol d'identifiants: les pirates peuvent cibler directement les utilisateurs de SendGrid par hameçonnage afin de dérober leurs identifiants. Comme les malfaiteurs peuvent utiliser le compte piraté pour envoyer des e-mails authentifiés, les domaines des victimes se retrouvent involontairement impliqués dans de futures attaques. Si un employé ou un sous-traitant d'OpenAI a réutilisé son mot de passe SendGrid, ou si ses identifiants ont été compromis lors d'une autre violation de données, les pirates peuvent se connecter au tableau de bord SendGrid et lancer une campagne de facturation frauduleuse.
  • Authentification multifactorielle insuffisante ou inexistante: la direction de Twilio a indiqué que l'authentification multifactorielle (MFA) était facultative pour les comptes SendGrid et que l'entreprise prévoyait de la rendre obligatoire. Sans MFA, les pirates peuvent prendre le contrôle des comptes en devinant ou en obtenant simplement les mots de passe. L'absence de vérification supplémentaire augmente le risque que des domaines légitimes tels que openai.com soient utilisés à des fins de hameçonnage.

Il est important de souligner qu'il n'existe aucune confirmation officielle indiquant qu'OpenAI ait été victime d'une intrusion. La présence du domaine openai.com dans ces e-mails de hameçonnage signifie que les pirates avaient accès à certains identifiants SendGrid liés à OpenAI. On ignore encore si cet accès résulte du vol d'identifiants, de la réutilisation de mots de passe, d'une attaque de hameçonnage visant un employé ou de la compromission d'un fournisseur tiers.

Néanmoins, la vente généralisée de comptes SendGrid piratés et l'incertitude quant à savoir si les identifiants ont été obtenus par hameçonnage ou si SendGrid a lui-même été piraté laissent penser que l'arnaque aux factures d'OpenAI résulte probablement d'une prise de contrôle de compte plutôt que d'une simple usurpation d'identité. Les organisations qui utilisent SendGrid devraient considérer cet incident comme un avertissement et veiller à mettre en place l'authentification multifactorielle (MFA), à renouveler régulièrement leurs clés API et à surveiller tout comportement inhabituel dans les envois.

Analyse des en-têtes de l'e-mail contenant la facture d'OpenAI

L'e-mail malveillant a été envoyé depuis l'adresse [email protected] via SendGrid. L'analyse des en-têtes a révélé plusieurs relais au sein de l'infrastructure de messagerie de Microsoft avant que le message n'atteigne son destinataire. Voici les principales observations :

  • Résultats de l'authentification: le message a passé avec succès les contrôles SPF, DKIM et DMARC, car tm.openai.com a autorisé l'adresse IP de SendGrid (159.183.120.121). Les pirates s'appuient sur des comptes SendGrid compromis pour garantir cette conformité.

  • En-têtes « Received » : un enregistrement « Received: » indique « de MjAyMTY3MDY (inconnu) par geopod-ismtpd-15 (SG) avec l'identifiant HTTP … », ce qui signifie que les serveurs geopod-ismtpd de SendGrid ont généré le message. La présence de « geopod‑ismtpd » et « (unknown) » dans les en-têtes Received est un indicateur courant que l'e-mail provient de SendGrid.

  • Champs X-SG: le message contient les en-têtes X-SG-EID et X-SG-ID, qui sont propres à SendGrid. Ceux-ci indiquent que le message a été envoyé via l'API de SendGrid plutôt que par un client de messagerie personnel.

  • Objet et corps du message: L'objet indiquait « Frais d'abonnement confirmés : 763,99 $ » et le corps du message ne contenait qu'un seul appel à l'action : « Assistance +1 (701) 638-0848 ». Aucun lien n'était inclus, ce qui a empêché les filtres d'URL d'identifier des domaines malveillants. Le corps du message reprenait l'identité visuelle d'OpenAI et utilisait un langage urgent pour susciter un sentiment de panique et donner une apparence de légitimité.

La combinaison de la fiabilité de livraison de SendGrid, de la conformité cryptographique et de l'usurpation d'identité de marque rend ces e-mails difficiles à bloquer par les passerelles de sécurité standard.

Fig. 2 : Analyse de l'en-tête de l'e-mail de phishing

Chaîne d'attaque : hameçonnage par rappel téléphonique / hameçonnage vocal

Le « callback phishing », également appelé « Telephone-Oriented Attack Delivery » (TOAD), est une arnaque qui commence par une fausse facture ou un faux avis d’abonnement. Ces e-mails prétendent souvent provenir d’entreprises connues et indiquent un numéro de téléphone à appeler si le prélèvement n’est pas autorisé. Leur objectif est d’inciter la victime à appeler ce numéro plutôt que de cliquer sur un lien. Une fois au téléphone, l'attaquant se fait passer pour un représentant du service client, demandant des informations personnelles ou demandant à la victime d'installer un logiciel d'assistance à distance. Comme il n'y a pas de liens ou de pièces jointes malveillants, ces messages peuvent contourner les filtres de messagerie traditionnels.

Les escroqueries par rappel téléphonique jouent sur le sentiment d'urgence : l'e-mail incite le destinataire à appeler pour annuler un prélèvement important, puis l'escroc lui demande des informations personnelles ou un accès à distance. Le phishing par rappel téléphonique incite les utilisateurs à appeler un numéro fourni. L'escroc utilise ensuite des techniques d'ingénierie sociale pour obtenir des identifiants de connexion, des informations financières ou un accès à distance. Cette méthode diffère du phishing traditionnel, car la conversation se déroule par appel vocal, ce qui la rend plus difficile à surveiller pour les outils de sécurité.

Fig. 3 : Message de phishing incitant à rappeler

Déroulement étape par étape de l'affaire concernant la facture d'OpenAI

  • E-mail initial: la victime reçoit un message ressemblant à une facture provenant de l'adresse [email protected] via SendGrid. Ce message indique qu'un paiement d'un montant élevé (763,99 $) a été effectué et fournit un numéro d'assistance à appeler. Comme le message passe les contrôles SPF, DKIM et DMARC, il semble authentique et contourne les filtres de messagerie.

  • Appel téléphonique: convaincue que la facture est authentique, la victime appelle le numéro d'assistance. Un escroc se faisant passer pour un représentant d'OpenAI lui répond. Il peut lui demander son nom, son adresse e-mail ou d'autres informations d'identification afin de « consulter le compte ».

  • Assistance à distance: l'escroc prétend devoir annuler le paiement ou procéder à un remboursement et demande à la victime d'installer un logiciel d'assistance à distance, ce qui lui permet d'accéder à l'appareil de la victime.
  • Compromission: grâce à l'accès à distance, le pirate peut récupérer des données sensibles (identifiants bancaires, numéros d'identification personnels) ou guider la victime à travers de fausses procédures de remboursement qui entraînent de réelles pertes financières. Les premières campagnes utilisaient cette technique pour installer des logiciels malveillants, s'octroyer un accès à distance et, parfois, mener des attaques par ransomware. Les pirates peuvent également demander à la victime de se connecter à son compte bancaire pour « vérifier » ses fonds, puis transférer discrètement de l'argent.

  • Actions post-compromission: les pirates peuvent s'implanter durablement sur l'ordinateur de la victime, installer d'autres logiciels malveillants, voler des données ou se propager vers d'autres systèmes. Comme c'est la victime qui a lancé l'appel, elle peut ne pas se rendre compte qu'un incident malveillant s'est produit.

Conséquences du phishing par rappel téléphonique

Le phishing par rappel téléphonique peut avoir de graves conséquences. Une fois l'accès à distance obtenu, les pirates peuvent :

  • Usurpation d'identité et fraude financière: les outils d'assistance à distance permettent aux cybercriminels de consulter et de voler des informations bancaires, d'effectuer des virements bancaires ou de souscrire des prêts. Netcraft souligne que des cybercriminels ont utilisé des comptes SendGrid piratés pour lancer des attaques de phishing en se faisant passer pour diverses entreprises, ce qui met en évidence l'ampleur de ces abus. Une fois l'accès à distance établi, les attaquants peuvent manipuler le tableau de bord financier de la victime et exfiltrer des données.

  • Installation de logiciels malveillants et ransomware: les victimes sont amenées à télécharger des chevaux de Troie d'accès à distance, qui sont ensuite utilisés pour déployer des ransomwares. Les pirates peuvent également installer des enregistreurs de frappe ou d'autres logiciels espions.

  • Compromission du réseau et déplacement latéral: une fois qu'ils ont accédé à un terminal, les cybercriminels peuvent se déplacer latéralement au sein d'une organisation, voler des données d'entreprise ou envoyer d'autres e-mails de hameçonnage (hameçonnage latéral).

Bonnes pratiques et recommandations

Pour réduire le risque d'escroqueries par hameçonnage utilisant des rappels abusifs via SendGrid :

  • Vérifiez auprès des sources officielles: n'appelez pas les numéros de téléphone indiqués dans les e-mails non sollicités. Si vous recevez une facture ou un avis d'abonnement qui vous semble suspect, contactez directement l'entreprise en utilisant un numéro figurant sur son site web officiel ou sur le portail de votre compte.

  • N'accordez jamais d'accès à distance à des interlocuteurs inconnus: les entreprises sérieuses ne vous demanderont jamais un accès à distance pour procéder à un remboursement ou résilier un abonnement. N'installez jamais de logiciel d'assistance à distance, sauf si vous avez vous-même contacté un prestataire de confiance pour obtenir de l'aide.

  • Sensibiliser les utilisateurs: former les employés à repérer les escroqueries liées aux factures.

  • Signalez et isolez: si vous soupçonnez une tentative de phishing par rappel téléphonique, signalez l'e-mail à votre équipe de sécurité et isolez tous les appareils sur lesquels un logiciel d'assistance à distance est installé. Surveillez vos comptes pour détecter toute transaction non autorisée et modifiez vos mots de passe.

  • Sécuriser les comptes SendGrid: les organisations qui utilisent SendGrid doivent activer l'authentification multifactorielle, surveiller l'activité d'envoi et révoquer toute clé API compromise. Netcraft met en garde contre le fait que des cybercriminels utilisent des comptes SendGrid compromis pour envoyer des e-mails de hameçonnage authentifiés.

Conclusion

L'arnaque aux factures d'OpenAI montre comment les pirates exploitent des services de messagerie cloud légitimes et des techniques d'ingénierie sociale par voix pour contourner les contrôles de sécurité. En envoyant un e-mail sous forme de facture via SendGrid, les criminels se sont assurés que le message passait les vérifications SPF/DKIM/DMARC et semblait fiable. L'absence de liens malveillants a permis à l'e-mail d'échapper aux filtres d'URL, tandis que l'appel à l'action urgent incitait le destinataire à contacter un escroc qui cherchait ensuite à obtenir un accès à distance.

Le phishing par rappel téléphonique s'inscrit dans une tendance plus large où les attaquants exploitent des plateformes de confiance et des outils d'assistance à distance. Une sécurité avancée des e-mails, la vigilance, la sensibilisation des utilisateurs et une vérification rigoureuse via les canaux officiels restent les défenses les plus efficaces contre cette menace en constante évolution.

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Obtenez une démo Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est un engagement envers des conditions flexibles, un partage des risques et un soutien dédié à votre entreprise.

Explorer Partner First Pledge

Rapport mondial de référence sur les MSP 2025

Le rapport mondial 2025 de Kaseya sur les prestataires de services gérés (MSP) est la ressource incontournable pour comprendre les perspectives du secteur.

Télécharger maintenant

Explorer les catégories

RGPD et e-mails - Blog n° 2

La réduction des risques de violation du RGPD commence dans la boîte de réception

Lisez cet article pour découvrir en quoi la sécurité des e-mails joue un rôle essentiel dans votre mise en conformité avec le Règlement général sur la protection des données (RGPD).

Lire l'article de blog

Le coût réel des attaques par hameçonnage

Découvrez le coût réel des attaques par hameçonnage et comment les solutions modernes de sécurité des e-mails bloquent les menaces avant qu'elles n'affectent votre entreprise.

Lire l'article de blog

Campagne de phishing via Zoom : comment les cybercriminels falsifient les alertes de la SSA et exploitent ConnectWise ScreenConnect

Découvrez comment des pirates ont exploité Zoom et ConnectWise ScreenConnect pour envoyer de fausses alertes de la SSA et piéger les utilisateurs dans le cadre d'une attaque de phishing sophistiquée.

Lire l'article de blog