Microsofts eigene E-Mail-Adresse kämpft gegen sich selbst und versendet monatelang Spam

Seit Monaten nutzen Betrüger eine Sicherheitslücke, um Spam-Mails von einer internen Microsoft-E-Mail-Adresse zu versenden – derselben, die Microsoft für legitime Kontobenachrichtigungen verwendet, weil offenbar niemand daran gedacht hat, diese Tür abzuschließen.

Es bleibt unklar, wie genau die Betrüger das System missbrauchen, aber sie haben es geschafft, neue Microsoft-Konten als Neukunden zu erstellen und diesen Zugang zu nutzen, um E-Mails zu versenden, die scheinbar vom Technologieriesen selbst stammen. Denn nichts sagt „Vertrauen Sie uns“ so sehr wie eine gefälschte E-Mail von einem echten Unternehmen.

Microsoft scheint die Situation noch nicht im Griff zu haben. Letzte Woche erhielt TechCrunch mehrere ähnlich strukturierte E-Mails mit betrügerischen Betreffzeilen und Links, alle gesendet von msonlineservicesteam@microsoftonline.com – derselben Adresse, die Microsoft für Zwei-Faktor-Authentifizierungscodes und andere kritische Warnungen verwendet. Einige Betreffzeilen ahmten offizielle Betrugswarnungen nach; andere behaupteten, eine private Nachricht erwarte den Empfänger unter einem dubiosen Link.

Am Dienstag veröffentlichte die Anti-Spam-Organisation The Spamhaus Project, dass sie diesen Missbrauch bereits seit „mehreren Monaten“ beobachtet habe. „Automatisierte Benachrichtigungssysteme sollten dieses Maß an Anpassung nicht zulassen“, schrieb Spamhaus trocken, nachdem sie Microsoft über das Problem informiert hatte.

TechCrunch kontaktierte Microsoft Anfang dieser Woche; ein Sprecher bestätigte die Anfrage, hat aber bisher weder kommentiert noch bestätigt, ob der Missbrauch gestoppt wurde. Dies ist der jüngste Vorfall in einer Reihe von Vorfällen, bei denen Hacker oder Betrüger Unternehmenssysteme missbraucht haben, um Kunden zu täuschen. Anfang dieses Jahres brachen Hacker in eine Plattform des Fintech-Unternehmens Betterment ein, um betrügerische Benachrichtigungen zu versenden, die versprachen, die Krypto-Guthaben der Nutzer zu verdreifachen – ein klassischer Betrug. Und bereits 2023 missbrauchten Hacker auf ähnliche Weise ein E-Mail-Konto von Namecheap, um Phishing-E-Mails zu versenden.

Andere Nutzer in sozialen Medien berichten, dass auch E-Mail-Adressen anderer Unternehmen für Spam verwendet werden, was darauf hindeutet, dass Microsoft mit seinem entzückenden Mangel an Sicherheit nicht allein ist.