近期,网络安全领域曝出一项持续存在的系统漏洞,该漏洞正被诈骗团伙恶意利用。不法分子通过微软官方的通知邮箱地址大量发送欺诈邮件,而这一邮箱原本是微软用于向用户推送账户安全提醒、双重验证码等重要通知的合法渠道。

关于诈骗分子具体如何绕过系统验证、滥用此功能的详细技术细节,目前尚未完全公开。但已知的攻击手法是,他们以新用户身份注册微软账户,并利用获取的权限伪装成微软官方发送邮件。这种源自“可信发件人”的邮件,极大地降低了用户的警惕性,容易让人误以为是真正的安全通知。
需要关注的是,尽管该问题已被曝光数月,但截至最近,微软似乎仍未彻底修复这一安全隐患。
伪装精良的官方欺诈邮件
就在上周,Techcrunch的编辑在其多个邮箱中均收到了数封格式高度相似的邮件。这些邮件的标题包含可疑链接,均伪装成来自微软官方的安全提醒。虽然邮件正文内容制作粗糙,但发件人地址却赫然显示为微软官方的通知邮箱:msonlineservicesteam@microsoftonline.com。该邮箱的正当用途本应是发送账户登录验证、异常活动警报等关键安全信息。
部分欺诈邮件的主题模仿账户风控警告,谎称用户的账户存在异常交易或登录行为;另一些则诱导收件人点击正文中的链接,声称有“重要消息”或“待处理事务”需要查看。尽管这些网络钓鱼手法并不新颖,但因其披上了“微软官方”的外衣,欺骗性和成功率显著提升。
持续数月的安全漏洞与行业警示
国际知名的反垃圾邮件非营利组织The Spamhaus Project于当地时间周二在社交媒体上公开证实,其监测系统同样发现了微软账户通知邮箱被滥用于发送垃圾邮件和欺诈信息的情况,且此类恶意活动已持续了相当长的时间。
该组织强调:“企业的官方自动通知系统必须设有严格防护,绝不应允许被轻易篡改或冒用。” 并表示已将此安全漏洞的详细情况通报给微软安全团队。
此次事件并非个例。近几个月来,攻击者利用并冒用大型企业官方系统进行诈骗,已成为一种明显的犯罪趋势。例如,今年早些时候,黑客入侵了金融科技公司Betterment的业务平台,伪造虚假通知,谎称用户转入加密货币即可获得高额返利,以此实施加密货币诈骗——这是一种典型的投资诈骗套路。
更早的类似案例可追溯到2023年,当时黑客盗用了知名域名注册商Namecheap的官方邮件账户,批量发送网络钓鱼邮件,成功窃取了大量用户的各类平台登录凭证。
事实上,在各大社交平台和论坛上,已有众多用户反映,不止一家知名企业的官方邮箱都曾遭到冒用,沦为诈骗工具。这充分表明,官方邮箱被冒用进行网络钓鱼和诈骗,已成为整个互联网行业需要共同应对的严峻安全挑战,而不仅仅是微软一家公司面临的问题。
