Kẻ lừa đảo lợi dụng lỗ hổng gửi email spam từ tài khoản nội bộ của Microsoft

Kẻ lừa đảo lợi dụng lỗ hổng gửi email spam từ tài khoản nội bộ của Microsoft

Trong nhiều tháng qua, những kẻ lừa đảo đã tận dụng một lỗ hổng bảo mật cho phép chúng gửi email spam từ một địa chỉ email nội bộ của Microsoft. Địa chỉ này thường được dùng để gửi các thông báo quan trọng về tài khoản, khiến người dùng dễ dàng tin tưởng vào tính xác thực của thư rác.

Màn hình chụp email spam từ tài khoản Microsoft

Hiện vẫn chưa rõ chính xác cách thức các kẻ lừa đảo lạm dụng hệ thống, nhưng chúng dường như có khả năng thiết lập các tài khoản Microsoft mới như thể là khách hàng mới. Sau đó, chúng sử dụng quyền truy cập đó để gửi đi các email được cho là từ chính gã khổng lồ công nghệ này, tiềm ẩn nguy cơ cao trong việc đánh lừa người dùng nghĩ rằng những email này là chính thức.

Microsoft dường như vẫn chưa kiểm soát được vấn đề này.

Tuần trước, tôi đã nhận được một số email có cấu trúc tương tự nhau chứa các dòng tiêu đề và liên kết web dẫn đến các trang lừa đảo từ Microsoft trên nhiều tài khoản email khác nhau. Những email này được tạo ra khá thô sơ nhưng lại được gửi từ địa chỉ [email protected]. Đây là tài khoản email mà Microsoft sử dụng để gửi các thông báo quan trọng cho người dùng, chẳng hạn như mã xác thực hai yếu tố (2FA) và các cảnh báo quan trọng khác về tài khoản trực tuyến của họ.

Một số dòng tiêu đề của các email này mô phỏng các email chính thức sẽ cảnh báo người dùng về các giao dịch gian lận, trong khi các email khác lại tuyên bố có một tin nhắn riêng đang chờ người nhận tại địa chỉ web được đề cập trong nội dung email.

Trong một bài đăng trên mạng xã hội vào thứ Ba, tổ chức phi lợi nhuận chống thư rác The Spamhaus Project cho biết họ cũng đã thấy địa chỉ email thông báo tài khoản của Microsoft bị lạm dụng để gửi spam, và hoạt động này đã diễn ra trong "vài tháng".

"Các hệ thống thông báo tự động không nên cho phép mức độ tùy chỉnh này," Spamhaus viết. Tổ chức này cũng cho biết đã thông báo cho Microsoft về vấn đề này.

Khi được TechCrunch liên hệ vào đầu tuần này, một phát ngôn viên của Microsoft đã xác nhận yêu cầu của chúng tôi, nhưng chưa đưa ra bình luận hay xác nhận liệu công ty đã chặn việc lạm dụng địa chỉ email thông báo tài khoản của mình hay chưa.

Đây là sự mới nhất trong một loạt các sự cố mà tin tặc hoặc kẻ lừa đảo đã lạm dụng hệ thống của công ty để lừa gạt những khách hàng không nghi ngờ trong vài tháng gần đây. Vào đầu năm nay, tin tặc đã đột nhập vào một nền tảng được sử dụng bởi công ty fintech Betterment để gửi các thông báo gian lận tuyên bố sẽ gấp ba giá trị của bất kỳ tiền điện tử nào người dùng gửi đi — một chiêu trò lừa đảo nổi tiếng nhằm đánh cắp tiền điện tử của mọi người.

Trở lại năm 2023, tin tặc cũng đã lạm dụng quyền truy cập vào một tài khoản email do Namecheap vận hành để gửi các email lừa đảo (phishing) nhằm đánh cắp thông tin đăng nhập của người dùng.

Một số người dùng khác bình luận trên mạng xã hội cho biết địa chỉ email của các công ty khác cũng đang bị sử dụng để gửi spam, cho thấy vấn đề này có thể không chỉ giới hạn ở Microsoft.