数月来,骗子们一直在利用一个漏洞,从微软的内部邮箱地址发送垃圾邮件——正是微软用于合法账户警报的那个地址,因为显然没人想到要锁上那扇门。
目前尚不清楚骗子是如何滥用系统的,但他们成功冒充新客户创建了微软账户,并利用该权限发送看似来自这家科技巨头本身的邮件。毕竟,没有什么比一封来自真实公司的假邮件更能说“信任我们”了。
微软似乎尚未控制住局面。上周,TechCrunch收到了几封结构相似的邮件,主题行和链接充满欺诈性,全部来自 msonlineservicesteam@microsoftonline.com——正是微软用于双因素认证码和其他关键警报的同一地址。有些主题行模仿官方欺诈警报;其他则声称收件人在某个可疑链接处有私信等待。
周二,反垃圾邮件非营利组织 Spamhaus Project 发布消息称,他们发现这一滥用行为已持续“数月”。“自动通知系统不应允许这种程度的自定义,”Spamhaus 干巴巴地写道,此前已通知微软该问题。
TechCrunch 本周早些时候联系了微软;一位发言人确认收到了询问,但尚未发表评论或确认滥用是否已停止。这是近期一系列黑客或骗子滥用公司系统欺骗客户事件中的最新一起。今年早些时候,黑客入侵了金融科技公司 Betterment 使用的平台,发送欺诈性通知,承诺将用户的加密货币资金翻三倍——典型的骗局。而在 2023 年,黑客同样滥用了 Namecheap 运营的邮箱账户发送钓鱼邮件。
其他用户在社交媒体上报告称,其他公司的邮箱地址也被用于发送垃圾邮件,表明微软并非唯一缺乏安全性的公司。