Adresa de email a Microsoft se alătură luptei împotriva sa însăși și trimite spam de luni de zile

Luni de zile, escrocii exploatează o portiță care le permite să trimită emailuri spam de pe o adresă internă Microsoft - exact aceeași pe care Microsoft o folosește pentru alertele legitime de cont, pentru că aparent nimeni nu s-a gândit să încuie ușa aia.

Rămâne neclar cum exact abuzează escrocii de sistem, dar au reușit să creeze conturi Microsoft noi, pretinzând că sunt clienți noi, și să folosească acest acces pentru a trimite emailuri care par să vină de la gigantul tech. Pentru că nimic nu spune „ai încredere în noi” ca un email fals de la o companie reală.

Microsoft nu pare să aibă încă control asupra situației. Săptămâna trecută, TechCrunch a primit mai multe emailuri structurate similar, cu subiecte și linkuri de tip spam, toate trimise de la msonlineservicesteam@microsoftonline.com - aceeași adresă pe care Microsoft o folosește pentru codurile de autentificare cu doi factori și alte alerte critice. Unele subiecte imitau alertele oficiale de fraudă; altele pretindeau că un mesaj privat așteaptă destinatarul la un link suspect.

Marți, organizația non-profit anti-spam The Spamhaus Project a postat că a observat acest abuz de „câteva luni”. „Sistemele de notificare automată nu ar trebui să permită acest nivel de personalizare”, a scris Spamhaus sec, după ce a notificat Microsoft despre problemă.

TechCrunch a contactat Microsoft la începutul acestei săptămâni; un purtător de cuvânt a confirmat primirea întrebării, dar nu a comentat încă și nici nu a confirmat dacă abuzul s-a oprit. Acesta este cel mai recent dintr-un șir de incidente în care hackeri sau escroci au abuzat de sistemele companiilor pentru a păcăli clienții. La începutul acestui an, hackerii au pătruns într-o platformă folosită de firma fintech Betterment pentru a trimite notificări frauduloase care promiteau triplarea fondurilor utilizatorilor de criptomonede - o înșelătorie clasică. Și în 2023, hackerii au abuzat similar de un cont de email administrat de Namecheap pentru a trimite emailuri de phishing.

Alți utilizatori pe rețelele sociale raportează că și adresele de email ale altor companii sunt folosite pentru spam, sugerând că Microsoft nu este singur în lipsa sa delicioasă de securitate.