Własny adres e-mail Microsoftu dołącza do walki z sobą, wysyła spam od miesięcy

Od miesięcy oszuści wykorzystują lukę, która pozwala im wysyłać spamowe e-maile z wewnętrznego adresu Microsoftu - tego samego, którego firma używa do legalnych alertów konta, bo najwyraźniej nikomu nie przyszło do głowy zamknąć tych drzwi.

Nie jest jasne, jak dokładnie oszuści nadużywają systemu, ale udało im się założyć nowe konta Microsoftu, podszywając się pod nowych klientów, i wykorzystać ten dostęp do wysyłania e-maili, które wyglądają, jakby pochodziły od samego giganta technologicznego. Bo nic tak nie mówi „zaufaj nam” jak fałszywy e-mail od prawdziwej firmy.

Microsoft najwyraźniej nie ma jeszcze kontroli nad sytuacją. W zeszłym tygodniu TechCrunch otrzymał kilka podobnie skonstruowanych e-maili ze spamowymi tematami i linkami, wszystkie wysłane z adresu msonlineservicesteam@microsoftonline.com - tego samego, którego Microsoft używa do kodów uwierzytelniania dwuskładnikowego i innych krytycznych alertów. Niektóre tematy naśladowały oficjalne alerty o oszustwach; inne twierdziły, że na odbiorcę czeka prywatna wiadomość pod podejrzanym linkiem.

We wtorek organizacja non-profit zajmująca się walką ze spamem, The Spamhaus Project, poinformowała, że zauważyła to nadużycie już „kilka miesięcy” temu. „Zautomatyzowane systemy powiadomień nie powinny pozwalać na taki poziom personalizacji” - napisał sucho Spamhaus, poinformowawszy Microsoft o problemie.

TechCrunch skontaktował się z Microsoftem na początku tego tygodnia; rzecznik potwierdził otrzymanie zapytania, ale nie skomentował ani nie potwierdził, czy nadużycie zostało powstrzymane. To najnowszy z serii incydentów, w których hakerzy lub oszuści nadużywają systemów firmowych, aby oszukać klientów. Wcześniej w tym roku hakerzy włamali się na platformę używaną przez firmę fintech Betterment, aby wysyłać fałszywe powiadomienia obiecujące potrojenie środków użytkowników kryptowalut - klasyczne oszustwo. A w 2023 roku hakerzy podobnie nadużyli konta e-mail zarządzanego przez Namecheap, aby wysyłać phishingowe e-maile.

Inni użytkownicy w mediach społecznościowych donoszą, że adresy e-mail innych firm również są wykorzystywane do spamu, co sugeruje, że Microsoft nie jest sam w swoim zachwycającym braku bezpieczeństwa.