Microsoft'un Kendi E-posta Adresi Kendine Karşı Savaşa Katılıyor, Aylardır Spam Gönderiyor

Aylardır dolandırıcılar, Microsoft'un meşru hesap uyarıları için kullandığı dahili e-posta adresinden spam e-postalar göndermelerine olanak tanıyan bir açıktan yararlanıyor - çünkü görünüşe göre kimse o kapıyı kilitlemeyi düşünmemiş.

Dolandırıcıların sistemi tam olarak nasıl kötüye kullandığı belirsizliğini koruyor, ancak yeni müşteri gibi davranarak yeni Microsoft hesapları oluşturmayı ve bu erişimi kullanarak teknoloji devinin kendisinden geliyormuş gibi görünen e-postalar göndermeyi başarmışlar. Çünkü "bize güvenin" demenin en iyi yolu, gerçek bir şirketten sahte bir e-postadır.

Microsoft henüz durumu kontrol altına almış görünmüyor. Geçen hafta, TechCrunch benzer yapıda birkaç e-posta aldı; hepsi msonlineservicesteam@microsoftonline.com adresinden gönderilmişti - Microsoft'un iki faktörlü kimlik doğrulama kodları ve diğer kritik uyarılar için kullandığı adresin aynısı. Bazı konu satırları resmi dolandırıcılık uyarılarını taklit ediyordu; diğerleri ise alıcıyı şüpheli bir bağlantıda özel bir mesaj beklediğini iddia ediyordu.

Salı günü, anti-spam kar amacı gütmeyen kuruluş Spamhaus Project, bu istismarı "birkaç aydır" fark ettiklerini duyurdu. "Otomatik bildirim sistemleri bu düzeyde özelleştirmeye izin vermemeli," diye yazdı Spamhaus kuru bir şekilde, Microsoft'u konu hakkında bilgilendirdikten sonra.

TechCrunch bu hafta başında Microsoft'la temasa geçti; bir sözcü soruyu kabul etti ancak henüz yorum yapmadı veya istismarın durup durmadığını doğrulamadı. Bu, bilgisayar korsanlarının veya dolandırıcıların müşterileri kandırmak için şirket sistemlerini kötüye kullandığı bir dizi olayın en sonuncusu. Bu yılın başlarında, bilgisayar korsanları fintech firması Betterment tarafından kullanılan bir platforma girerek kripto kullanıcılarının fonlarını üçe katlama vaadiyle sahte bildirimler gönderdi - klasik bir dolandırıcılık. Ve 2023'te, bilgisayar korsanları benzer şekilde Namecheap tarafından işletilen bir e-posta hesabını kimlik avı e-postaları göndermek için kullandı.

Sosyal medyadaki diğer kullanıcılar, diğer şirketlerin e-posta adreslerinin de spam için kullanıldığını bildiriyor; bu da Microsoft'un bu keyifli güvenlik eksikliğinde yalnız olmadığını gösteriyor.