Мошенники уже несколько месяцев используют дыру в системе Microsoft, чтобы рассылать спам с официального внутреннего адреса компании. Речь идёт об адресе msonlineservicesteam@microsoftonline.com — с него Microsoft обычно шлёт настоящие уведомления: коды двухфакторной аутентификации и другие критичные сообщения про учётную запись.
Как именно злоумышленники обходят защиту — пока неясно. Они регистрируют новые аккаунты Microsoft как обычные клиенты и с их помощью отправляют письма, которые выглядят так, будто пришли от самой корпорации. Журналист TechCrunch на прошлой неделе получил несколько таких писем на разные почты. Сообщения были примитивно сделаны, но темы выглядели убедительно: одни имитировали алерты о подозрительных транзакциях, другие заманивали обещанием личного сообщения по ссылке.
Антиспам-организация The Spamhaus Project сообщила в соцсетях, что тоже видит злоупотребление этим служебным адресом, и активность длится уже «несколько месяцев». Spamhaus отметил: «Автоматизированные системы уведомлений не должны допускать такой степени кастомизации». Некоммерческая организация уведомила Microsoft о проблеме.
Microsoft сначала не ответила на запрос TechCrunch, но после публикации через третьестороннее PR-агентство передала комментарий Эмилии Катон: «Мы активно расследуем эти фишинговые сообщения и принимаем меры для защиты клиентов. Усиливаем механизмы обнаружения и блокировки, удаляем аккаунты, нарушающие наши правила использования».
Это не единичный случай. Ранее в этом году хакеры взломали платформу финтех-компании Betterment и рассылали фальшивые уведомления «утроим вашу крипту» — так воруют криптовалюту. В 2023‑м аналогичным образом взломали служебную почту Namecheap и слали фишинг для кражи паролей.
Пользователи в соцсетях пишут, что схожий спам приходит и с адресов других компаний — проблема явно шире, чем одна Microsoft.