微软正在处理一起安全漏洞:诈骗者滥用其官方邮箱地址发送钓鱼邮件。
自今年初以来,大量用户收到来自 msonlineservicesteam@microsoftonline.com 的可疑邮件,该地址本是微软用于发送双因素验证码和账户安全警报的官方渠道。邮件内容冒充微软官方通知,诱导用户点击恶意链接。部分邮件甚至伪装成交易警示,提醒用户有未读消息。
反垃圾邮件组织 Spamhaus 周二在社交平台发文称,这种滥用行为已持续数月,并指出自动化通知系统不应允许如此程度的内容定制。Spamhaus 已向微软通报此问题。
微软随后发表声明,称正在加强检测和封禁机制,移除违规账户。不过截至目前,被滥用的邮箱地址仍在活动中。
这不是孤例。年初有黑客入侵金融科技公司 Betterment 的平台发送诈骗邮件;2023年亦有攻击者通过 Namecheap 的邮箱系统发送钓鱼链接。
编注:信源为 TechCrunch 记者报道及 Spamhaus 公开披露,微软已作回应但未提供解决时间表。