L'indirizzo email di Microsoft si unisce alla lotta contro se stesso e invia spam per mesi

Per mesi, i truffatori hanno sfruttato una falla che permette loro di inviare email spam da un indirizzo email interno di Microsoft - lo stesso che Microsoft usa per avvisi legittimi dell'account, perché a quanto pare nessuno ha pensato di chiudere quella porta.

Non è ancora chiaro come i truffatori stiano abusando del sistema, ma sono riusciti a creare nuovi account Microsoft spacciandosi per nuovi clienti e usando quell'accesso per inviare email che sembrano provenire dal colosso tecnologico stesso. Perché niente dice "fidati di noi" come una email falsa da un'azienda vera.

Microsoft non sembra ancora avere il controllo della situazione. La scorsa settimana, TechCrunch ha ricevuto diverse email con struttura simile, con oggetti e link truffaldini, tutte inviate da msonlineservicesteam@microsoftonline.com - lo stesso indirizzo che Microsoft usa per i codici di autenticazione a due fattori e altri avvisi critici. Alcuni oggetti imitavano avvisi ufficiali di frode; altri affermavano che un messaggio privato attendeva il destinatario a un link sospetto.

Martedì, l'organizzazione no-profit anti-spam The Spamhaus Project ha segnalato di aver notato questo abuso risalente a "diversi mesi fa". "I sistemi di notifica automatica non dovrebbero permettere questo livello di personalizzazione", ha scritto asciuttamente Spamhaus, dopo aver informato Microsoft del problema.

TechCrunch ha contattato Microsoft all'inizio della settimana; un portavoce ha riconosciuto la richiesta ma non ha ancora commentato né confermato se l'abuso sia cessato. Questo è l'ultimo di una serie di incidenti in cui hacker o truffatori hanno abusato dei sistemi aziendali per ingannare i clienti. All'inizio di quest'anno, degli hacker hanno violato una piattaforma usata dalla società fintech Betterment per inviare notifiche fraudolente che promettevano di triplicare i fondi in criptovalute degli utenti - una truffa classica. E nel 2023, degli hacker hanno abusato allo stesso modo di un account email gestito da Namecheap per inviare email di phishing.

Altri utenti sui social media riferiscono che anche gli indirizzi email di altre aziende vengono usati per lo spam, suggerendo che Microsoft non è sola nella sua deliziosa mancanza di sicurezza.