首先揭示一个令人不寒而栗的事实:近几个月来,有网络钓鱼团伙直接利用微软官方的真实邮箱地址发送钓鱼邮件。没错,发件人一栏赫然显示着 msonlineservicesteam@microsoftonline.com——这原本是微软用于发送双重验证码和账户通知的合法渠道。
该消息源自科技媒体 TechCrunch 于5月27日发布的博文,深入调查后发现问题已持续数月。由于该邮箱本身承担着发送双重认证(2FA)验证码等官方通知的任务,用户对其天然缺乏防备心理——邮件的视觉设计、字体样式、签名信息均与真实通知如出一辙,极难辨识。
进一步分析表明,这并非常见的“显示名称伪造”等低级手法。现有证据显示,攻击者极有可能已经滥用了微软合法的通知系统或关联账户机制,从而能够从官方邮箱地址直接发出钓鱼邮件。
过去,许多人习惯将“核对发件人地址”作为首要防线,但如今这一方法已完全失效。更安全的应对策略只有一个:无论邮件内容显得多么紧急,例如账户警告、异常登录或安全提醒,都不要点击邮件中的任何链接。正确的做法是,自行打开微软官方网站或官方应用,登录后手动检查账户状态。
在信任错位的时代,连官方邮箱都可能被当作攻击工具。请牢记:真正的安全,并不在收件箱中,而在于你主动访问的官方网站。
