Собственный email-адрес Microsoft присоединился к борьбе с самим собой и рассылал спам месяцами

В течение нескольких месяцев мошенники эксплуатировали лазейку, позволяющую им рассылать спам-письма с внутреннего email-адреса Microsoft — того самого, который Microsoft использует для легитимных оповещений учетных записей, потому что, видимо, никто не подумал запереть эту дверь.

Остается неясным, как именно мошенники злоупотребляют системой, но им удалось создать новые учетные записи Microsoft, выдавая себя за новых клиентов, и использовать этот доступ для отправки писем, которые выглядят так, будто пришли от самого технологического гиганта. Потому что ничто так не говорит «доверяй нам», как поддельное письмо от настоящей компании.

Microsoft, похоже, пока не контролирует ситуацию. На прошлой неделе TechCrunch получил несколько писем аналогичной структуры с мошенническими темами и ссылками, все отправленные с адреса msonlineservicesteam@microsoftonline.com — того же адреса, который Microsoft использует для кодов двухфакторной аутентификации и других критических оповещений. Некоторые темы писем имитировали официальные предупреждения о мошенничестве; другие утверждали, что получателя ждет личное сообщение по подозрительной ссылке.

Во вторник некоммерческая организация по борьбе со спамом The Spamhaus Project сообщила, что заметила это злоупотребление еще «несколько месяцев назад». «Автоматизированные системы уведомлений не должны допускать такой уровень настройки», — сухо написал Spamhaus, уведомив Microsoft о проблеме.

TechCrunch связался с Microsoft ранее на этой неделе; представитель подтвердил получение запроса, но пока не прокомментировал и не подтвердил, прекратилось ли злоупотребление. Это последний инцидент в череде случаев, когда хакеры или мошенники злоупотребляют корпоративными системами для обмана клиентов. Ранее в этом году хакеры взломали платформу, используемую финтех-компанией Betterment, для рассылки мошеннических уведомлений, обещающих утроить средства пользователей в криптовалюте — классическая афера. А еще в 2023 году хакеры аналогичным образом злоупотребили учетной записью электронной почты, управляемой Namecheap, для рассылки фишинговых писем.

Другие пользователи в социальных сетях сообщают, что email-адреса других компаний также используются для спама, что позволяет предположить, что Microsoft не одинока в своем восхитительном отсутствии безопасности.