骗子利用微软内部账号发送垃圾邮件

数月来，骗子一直在利用一个漏洞，从微软内部邮箱地址发送垃圾邮件，该地址通常用于发送合法的账户警报。目前尚不清楚骗子如何滥用该系统，但他们能够像新客户一样设置新的微软账户，并利用该访问权限以微软名义发送邮件，可能诱骗用户认为这些邮件是真实的。微软似乎尚未完全掌控这个问题。上周，记者在多个不同的邮箱账户中收到了几封结构相似的邮件，这些邮件包含主题行和指向诈骗网站的链接。这些粗制滥造的邮件来自 msonlineservicesteam@microsoftonline.com，该邮箱是微软用来向用户发送重要通知的，例如双因素认证码和其他关于在线账户的关键警报。其中一些邮件的主题与官方提醒用户欺诈交易的邮件相似，而另一些则声称收件人在邮件正文中的网址上有一条私人消息。

周二，反垃圾邮件非营利组织 Spamhaus 项目在社交媒体上表示，他们也看到了微软的账户通知邮箱地址被滥用于发送垃圾邮件，并且该活动可以追溯到“几个月前”。Spamhaus 写道：“自动化通知系统不应允许这种程度的自定义。”该非营利组织补充说，他们已经将问题通知了微软。本周早些时候，当 TechCrunch 联系微软时，微软确认收到了询问，但在截稿前未发表评论。在文章发布后，通过第三方公关机构代表微软的 Emelia Katon 提供的一份声明中，微软表示：“我们正在积极调查并针对这些钓鱼报告采取行动，以帮助保护客户。这包括进一步加强我们的检测和阻止机制，同时移除违反我们使用条款的账户。”

这是最近几个月黑客或骗子滥用公司系统欺骗毫无戒心的客户的一系列事件中的最新一起。今年早些时候，黑客攻破了金融科技公司 Betterment 使用的平台，发送了声称用户发送的任何加密货币价值翻倍的欺诈通知——这是一种广为人知的用于窃取人们加密货币的骗局。早在 2023 年，黑客就曾滥用对 Namecheap 运营的邮箱账户的访问权限，发送旨在窃取人们凭证的钓鱼邮件。社交媒体上的其他用户评论说，其他公司的邮箱地址也被用来发送垃圾邮件，表明这个问题并不局限于微软。