لأشهر، استغل المحتالون ثغرة تسمح لهم بإرسال رسائل بريد إلكتروني مزعجة من عنوان بريد إلكتروني داخلي لشركة مايكروسوفت - وهو نفس العنوان الذي تستخدمه مايكروسوفت للتنبيهات الرسمية للحسابات، لأنه على ما يبدو لم يفكر أحد في إغلاق ذلك الباب.
لا يزال من غير الواضح كيف يسيء المحتالون استخدام النظام، لكنهم تمكنوا من إنشاء حسابات مايكروسوفت جديدة متظاهرين بأنهم عملاء جدد واستخدام هذا الوصول لإرسال رسائل بريد إلكتروني تبدو وكأنها قادمة من شركة التكنولوجيا العملاقة نفسها. لأنه لا شيء يقول "ثق بنا" مثل بريد إلكتروني مزيف من شركة حقيقية.
لا يبدو أن مايكروسوفت قد سيطرت على الموقف بعد. الأسبوع الماضي، تلقت TechCrunch العديد من رسائل البريد الإلكتروني ذات الهيكل المماثل مع سطور موضوع احتيالية وروابط، جميعها مرسلة من msonlineservicesteam@microsoftonline.com - نفس العنوان الذي تستخدمه مايكروسوفت لرموز المصادقة الثنائية والتنبيهات الهامة الأخرى. بعض سطور الموضوع قلدت تنبيهات الاحتيال الرسمية؛ بينما ادعى البعض الآخر أن رسالة خاصة تنتظر المستلم في رابط مشبوه.
يوم الثلاثاء، نشرت منظمة مكافحة البريد العشوائي غير الربحية The Spamhaus Project أنها رصدت هذا الاستغلال منذ "عدة أشهر". وكتبت Spamhaus بجفاف: "لا ينبغي للأنظمة الآلية للإشعارات أن تسمح بهذا المستوى من التخصيص"، بعد أن أبلغت مايكروسوفت بالمشكلة.
اتصلت TechCrunch بمايكروسوفت في وقت سابق من هذا الأسبوع؛ وأقر متحدث باسم الشركة بالاستفسار لكنه لم يعلق بعد أو يؤكد ما إذا كان الاستغلال قد توقف. هذه هي أحدث حلقة في سلسلة من الحوادث التي استغل فيها المخترقون أو المحتالون أنظمة الشركات لخداع العملاء. في وقت سابق من هذا العام، اخترق قراصنة منصة تستخدمها شركة التكنولوجيا المالية Betterment لإرسال إشعارات احتيالية تعد بمضاعفة أموال عملاء العملات الرقمية - وهي عملية احتيال كلاسيكية. وفي عام 2023، استغل المخترقون بالمثل حساب بريد إلكتروني تديره Namecheap لإرسال رسائل تصيد.
ويبلغ مستخدمون آخرون على وسائل التواصل الاجتماعي عن استخدام عناوين بريد إلكتروني لشركات أخرى أيضًا في البريد العشوائي، مما يشير إلى أن مايكروسوفت ليست وحدها في افتقارها الساحر للأمان.