O Próprio Email da Microsoft se Une à Luta Contra Si Mesmo e Envia Spam por Meses

Por meses, golpistas têm explorado uma brecha que lhes permite enviar emails de spam de um endereço de email interno da Microsoft - exatamente o mesmo que a Microsoft usa para alertas legítimos de conta, porque aparentemente ninguém pensou em trancar essa porta.

Ainda não está claro exatamente como os golpistas estão abusando do sistema, mas eles conseguiram criar novas contas da Microsoft se passando por novos clientes e usar esse acesso para enviar emails que parecem vir da própria gigante de tecnologia. Porque nada diz "confie em nós" como um email falso de uma empresa real.

A Microsoft ainda não parece ter controle da situação. Na semana passada, o TechCrunch recebeu vários emails com estrutura semelhante, com linhas de assunto e links de golpe, todos enviados de msonlineservicesteam@microsoftonline.com - o mesmo endereço que a Microsoft usa para códigos de autenticação de dois fatores e outros alertas críticos. Algumas linhas de assunto imitavam alertas oficiais de fraude; outras alegavam que uma mensagem privada aguardava o destinatário em um link suspeito.

Na terça-feira, a organização sem fins lucrativos antispam The Spamhaus Project publicou que havia detectado esse abuso desde "vários meses". "Sistemas de notificação automatizados não deveriam permitir esse nível de personalização", escreveu Spamhaus secamente, tendo notificado a Microsoft sobre o problema.

O TechCrunch entrou em contato com a Microsoft no início desta semana; um porta-voz reconheceu a consulta, mas ainda não comentou ou confirmou se o abuso foi interrompido. Este é o mais recente de uma série de incidentes em que hackers ou golpistas abusaram de sistemas de empresas para enganar clientes. No início deste ano, hackers invadiram uma plataforma usada pela fintech Betterment para enviar notificações fraudulentas prometendo triplicar os fundos de criptomoedas dos usuários - um golpe clássico. E em 2023, hackers abusaram de forma semelhante de uma conta de email administrada pela Namecheap para enviar emails de phishing.

Outros usuários nas redes sociais relatam que endereços de email de outras empresas também estão sendo usados para spam, sugerindo que a Microsoft não está sozinha em sua adorável falta de segurança.