몇 달 동안 사기꾼들은 마이크로소프트의 내부 이메일 주소를 통해 스팸을 보내는 허점을 악용해 왔습니다. 바로 마이크로소프트가 합법적인 계정 알림에 사용하는 바로 그 주소인데, 아무도 그 문을 잠글 생각을 하지 못한 모양입니다.
사기꾼들이 시스템을 어떻게 악용하는지는 정확히 밝혀지지 않았지만, 그들은 새로운 고객인 척 마이크로소프트 계정을 설정하고 그 접근 권한을 이용해 마치 기술 거물인 마이크로소프트 자체에서 온 것처럼 보이는 이메일을 보내고 있습니다. "저희를 믿으세요"라는 말이 실제 회사에서 온 가짜 이메일보다 더 신뢰를 주는 법은 없죠.
마이크로소프트는 아직 상황을 제대로 파악하지 못한 것으로 보입니다. 지난주 TechCrunch는 스팸성 제목과 링크가 포함된 비슷한 구조의 이메일 여러 통을 받았는데, 모두 msonlineservicesteam@microsoftonline.com에서 발송되었습니다. 이는 마이크로소프트가 2단계 인증 코드 및 기타 중요한 알림에 사용하는 주소입니다. 일부 제목은 공식 사기 경고를 모방했고, 다른 제목은 수신자가 수상한 링크에서 개인 메시지를 기다리고 있다고 주장했습니다.
화요일, 스팸 방지 비영리 단체인 Spamhaus Project는 이 악용 사례가 "몇 달" 전부터 있었다고 발표했습니다. "자동 알림 시스템이 이런 수준의 사용자 정의를 허용해서는 안 됩니다"라고 Spamhaus는 건조하게 적었으며, 마이크로소프트에 문제를 알렸습니다.
TechCrunch는 이번 주 초 마이크로소프트에 연락했으며, 대변인이 문의를 인정했지만 아직 논평하거나 악용이 중단되었는지 확인하지 않았습니다. 이는 해커나 사기꾼들이 회사 시스템을 악용하여 고객을 속이는 일련의 사건 중 최신 사례입니다. 올해 초, 해커들은 핀테크 기업 Betterment가 사용하는 플랫폼에 침입하여 암호화폐 사용자의 자금을 3배로 늘려주겠다는 사기성 알림을 보냈습니다. 이는 전형적인 사기입니다. 그리고 2023년에는 해커들이 Namecheap이 운영하는 이메일 계정을 유사하게 악용하여 피싱 이메일을 보냈습니다.
소셜 미디어의 다른 사용자들은 다른 회사의 이메일 주소도 스팸에 사용되고 있다고 보고하며, 마이크로소프트만이 사랑스러운 보안 부족 문제를 겪고 있는 것은 아님을 시사합니다.