Microsofts egen e-postadress kämpar mot sig själv – skickar skrämsel i månader

I månader har bedragare utnyttjat en kryphål som låter dem skicka skräppost från en intern Microsoft-e-postadress – samma adress som Microsoft använder för legitima kontovarningar, för att uppenbarligen ingen tänkte på att låsa den dörren.

Det är fortfarande oklart exakt hur bedragarna missbrukar systemet, men de har lyckats skapa nya Microsoft-konton som utger sig för att vara nya kunder och använda den åtkomsten för att skicka e-post som ser ut att komma från teknikjätten själv. För inget säger "lita på oss" som ett falskt mejl från ett riktigt företag.

Microsoft verkar ännu inte ha kontroll över situationen. Förra veckan fick TechCrunch flera liknande strukturerade e-postmeddelanden med skrämmande ämnesrader och länkar, alla skickade från msonlineservicesteam@microsoftonline.com – samma adress som Microsoft använder för tvåfaktorsautentiseringskoder och andra kritiska varningar. Vissa ämnesrader imiterade officiella bedrägerivarningar; andra påstod att ett privat meddelande väntade mottagaren på en skum länk.

På tisdag postade anti-spam-organisationen The Spamhaus Project att de hade sett detta missbruk sedan "flera månader tillbaka." "Automatiserade meddelandesystem borde inte tillåta denna nivå av anpassning," skrev Spamhaus torrt, efter att ha meddelat Microsoft om problemet.

TechCrunch kontaktade Microsoft tidigare i veckan; en talesperson bekräftade förfrågan men har ännu inte kommenterat eller bekräftat om missbruket har upphört. Detta är det senaste i en rad incidenter där hackare eller bedragare har missbrukat företagssystem för att lura kunder. Tidigare i år bröt sig hackare in i en plattform som används av fintech-företaget Betterment för att skicka bedrägliga meddelanden som lovade att tredubbla kryptovalutaanvändares pengar – en klassisk bluff. Och redan 2023 missbrukade hackare på liknande sätt ett e-postkonto som drivs av Namecheap för att skicka nätfiskemejl.

Andra användare på sociala medier rapporterar att även andra företags e-postadresser används för skräppost, vilket tyder på att Microsoft inte är ensam om sin förtjusande brist på säkerhet.