Golpistas estão abusando de uma conta interna da Microsoft para enviar links de spam

 (techcrunch.com)
1 pontos por GN⁺ 3 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • Há meses, golpistas vêm abusando de endereços de e-mail internos da Microsoft para enviar mensagens de spam disfarçadas como alertas legítimos de conta
  • O endereço remetente envolvido é msonlineservicesteam@microsoftonline.com, um canal oficial originalmente usado para alertas importantes da conta, como códigos de autenticação em dois fatores
  • Os golpistas estão explorando uma brecha no sistema ao criar novas contas da Microsoft, mas o método exato de contorno ainda não está claro
  • A organização sem fins lucrativos antispam The Spamhaus Project observa o mesmo abuso há meses e notificou a Microsoft
  • A Microsoft afirma que está investigando e tomando medidas em relação aos relatos de phishing, além de reforçar mecanismos de detecção e bloqueio e remover contas que violam os termos

Visão geral do caso

  • Ao longo de vários meses, golpistas vêm explorando uma falha que permite enviar e-mails de spam por meio de um endereço interno oficial da Microsoft usado para alertas de conta
  • Os golpistas criam novas contas da Microsoft como se fossem novos clientes e, com esse acesso, conseguem enviar e-mails em nome da Microsoft
  • Há o risco de que os destinatários confundam os e-mails com alertas autênticos
  • Até agora, a Microsoft ainda não conseguiu controlar completamente o problema

Características dos e-mails de spam enviados

  • Na semana passada, um repórter do TechCrunch recebeu vários e-mails de spam com estrutura semelhante em diversas contas de e-mail
    • Todos foram enviados do endereço msonlineservicesteam@microsoftonline.com
    • Esse endereço é uma conta oficial usada pela Microsoft para enviar códigos de autenticação em dois fatores e outros alertas importantes relacionados a contas online
  • Assunto e composição das mensagens
    • Algumas imitavam o formato de assunto de e-mails oficiais, como se fossem alertas de transação fraudulenta
    • Outras afirmavam, no corpo do e-mail, que havia "uma mensagem privada aguardando" no endereço web indicado
    • As mensagens foram produzidas de forma grosseira (crudely made)

Observações do Spamhaus Project

  • A organização sem fins lucrativos antispam The Spamhaus Project informou em uma publicação social na terça-feira que confirmou o mesmo tipo de abuso
    • Observou que a atividade de uso indevido do endereço de e-mail de alertas de conta da Microsoft para envio de spam já se estende por "meses"
  • Spamhaus: "Sistemas automatizados de notificação não deveriam permitir esse nível de customização"
  • A entidade já havia notificado a Microsoft sobre o problema

Resposta da Microsoft

  • Quando o TechCrunch entrou em contato com a Microsoft no começo da semana, a empresa apenas confirmou o recebimento da solicitação e não respondeu até o prazo de publicação
  • Após a publicação da matéria, Emelia Katon transmitiu a posição oficial da Microsoft por meio de uma agência externa de PR
    • "Estamos investigando ativamente e tomando medidas em relação aos relatos de phishing e trabalhando para proteger os clientes"
    • Reforço dos mecanismos de detecção e bloqueio em andamento
    • Remoção de contas que violam os termos em paralelo

Casos semelhantes de abuso

Leituras relacionadas

1 comentários

 
GN⁺ 3 시간 전
Opiniões no Hacker News

  • Fico pensando como alguém pode ter certeza de que microsoftonline.com é mesmo legítimo. O gerenciamento de domínios da Microsoft é tão bagunçado que não me surpreenderia se nem internamente eles tivessem uma lista completa de todos os domínios que possuem
    É irônico que as empresas insistam para você verificar o domínio para distinguir spam, mas não consigam publicar oficialmente uma lista de todos os domínios que usam para enviar e-mails

    • Acho que estão falando de algo como a Microsoft sair de um domínio fácil de ler e lembrar, como office.com, para um domínio estranho de exibicionismo como m365.cloud.microsoft
    • Um pouco diferente, mas na Índia, em toda época de renovação de seguro, eu recebia pelo menos 12 ligações de golpe bancário por dia. Eu queria que os bancos publicassem números oficiais e obrigassem os funcionários a usar apenas esses números, e recentemente o regulador realmente fez isso, então os bancos só podem usar números 1600 para contato com clientes
      Depois disso, o número de ligações de golpe bancário caiu para 0
    • A Bluesky é ainda pior: alguns e-mails vêm de moderation@blueskyweb.xyz
      Como eles chegam a pedir que você envie documentos como identidade para esse endereço, tiveram até que publicar um post dizendo que não era golpe: https://bsky.app/profile/safety.bsky.app/post/3ljp6zi7tp227
    • Além disso, eles envolvem os links do e-mail com domínios de rastreamento de clique, e às vezes esse domínio é de algo como Mailgun, sem relação nenhuma com a empresa
      Então, mesmo que você confira diretamente o link antes de clicar, um e-mail legítimo pode parecer que está levando para um domínio de golpe
    • Fui consultar a primeira coisa que me veio à cabeça e internalmicrosoft.com e microsoftinternal.com ainda estavam disponíveis para registro. Se a possibilidade de abuso é tão grande, eu acharia que eles manteriam um conjunto oficial de domínios com muito mais rigor

  • Em um assunto meio relacionado, a segurança da Microsoft é realmente péssima
    A semana passada inteira o Microsoft Authenticator me enviou alertas de tentativas de login em vários lugares, mas a página de histórico de login estava completamente vazia. Nem os meus próprios logins apareciam
    Dá para imaginar que a senha vazou, mas não foi isso. O fluxo de login padrão, quando o app está ativado, é e-mail + Authenticator, sem precisar de senha. O mais absurdo é que não dá para mudar essa opção pelo app
    A Microsoft devia perceber que a única razão de essa conta ainda existir é porque comprou o Minecraft e parar de complicar a minha vida

    • A Microsoft também tem aquele ótimo recurso em que, se alguém errar o login da conta vezes demais, a conta é bloqueada e exige redefinição de senha, mesmo que a senha correta esteja sendo usada
      Depois de trocar a senha, eu ainda não conseguia acessar o e-mail no celular e simplesmente desisti. Eu só uso esse e-mail para algumas poucas coisas mesmo
    • Eu suspeitava que isso só acontecia quando havia um cookie de sessão anterior no navegador ou quando o IP não tinha mudado
      Edit: testei eu mesmo com um novo IP e uma janela privativa do Firefox, e estava certo. Dá para inserir o e-mail e escolher a notificação do app
    • Aconteceu a mesma coisa comigo. O Authenticator pede confirmação dizendo “login realizado”, mas quando você vai conferir na página de segurança não existe nenhum registro
      Na primeira vez eu fiquei assustado e fucei todas as configurações de segurança que consegui achar, mas parecia que nada tinha acontecido
      A partir da segunda vez eu só ignorei, mas continua inquietante. No fluxo padrão do Authenticator, também existe a possibilidade de você acabar tocando no número correto por engano
    • Há alguns meses isso também começou a acontecer comigo, e quando mudei o endereço de e-mail os alertas pararam
      Na prática, eu só troquei o alias que aponta para a mesma caixa de entrada de antes
    • A mesma empresa quer descontinuar a autenticação em dois fatores por SMS e empurrar o próprio app Authenticator ruim deles

  • O domínio da nossa empresa começa com m. Recentemente várias pessoas caíram em e-mails de phishing de um domínio começando com rn, porque na fonte do Outlook os dois parecem quase iguais

  • Já reservei hotel pelo Booking e recebi uma tentativa de phishing que parecia vir do hotel, via e-mail e DM do domínio do site do Booking
    Quando analisei na época, pareceu menos um caso de conta do hotel comprometida e mais algum endpoint de mensagem/e-mail do Booking sendo abusado de forma parecida
    Não sei se é o mesmo tipo de caso, mas é interessante, especialmente o fato de isso já ter sido reportado à Microsoft e ainda assim não ter havido nenhuma ação

    • Todos os casos de PayPal que eu vi eram e-mail do hotel ou conta do Booking comprometidos
      Como hóspede, eu já “ajudei” mais de dez vezes a remover malware ou ferramentas de acesso remoto dos sistemas de hotéis

  • Acho que a solução óbvia é as empresas pararem de criar um milhão de domínios diferentes e usarem subdomínios como internal.microsoft.com, mas é triste como isso parece tão distante da realidade que ninguém nem menciona isso aqui

    • Eles até têm .microsoft, então não entendo por que fazer isso
    • Concordo
      Uma vez um órgão público da Alemanha mandou uma carta para a nossa empresa pedindo exportação de dados e mandando fazer upload em findrive-ni.de
      Era legítimo, mas não era subdomínio do domínio do estado da Baixa Saxônia e também não era referenciado em nenhum lugar do site oficial

  • Todo dia recebo umas 20 a 30 mensagens de spam vindas de servidores do Google. Por diversão, estou classificando tudo em uma pasta separada de SPAM
    Não consigo descobrir com quem falar, como fazer o Google parar isso, nem onde denunciar abuso do serviço. O serviço inteiro é praticamente um enorme “vai embora, não quero ser contatado”
    Estou quase achando que preciso publicar um post e fazer ele chegar aqui no HN. Talvez assim alguém do Google tenha motivação para olhar

    • Eu também já entrei nesse buraco. Tentei todos os canais de denúncia de abuso que consegui encontrar
      O network-abuse@ encaminha para o formulário de abuso do Google Cloud, e lá dizem que “os IPs mencionados no relatório não estão hospedados no Google Cloud, então não podemos tomar nenhuma medida”
      A denúncia de abuso do Gmail nem responde. No fim, bloqueei identificadores DKIM relacionados ao Firebase no Rspamd
    • Você pode tentar aqui: https://support.google.com/mail/contact/abuse?hl=en
      Enviei uma conta que mandou e-mail de phishing na semana passada, mas me disseram para não esperar nada, porque é basicamente um buraco negro

  • A Meta também tinha, ou ainda tem, um bug parecido em uma das funções do Business Manager. O invasor consegue controlar completamente o texto inicial do corpo, então fica muito convincente
    Tentei denunciar isso, mas foi perda total de tempo. Parece que há tanto spam de bug bounty que o processo de submissão de segurança acaba filtrando até problemas reais que aparecem de vez em quando

    • Recebo esses e-mails há tanto tempo que comecei a me perguntar se eu era o alvo específico, e não um problema disseminado. Isso porque a Meta parecia não fazer absolutamente nada
      Os e-mails realmente vêm de noreply@business.facebook.com e contêm um texto como este abaixo. É no nível de você precisar decifrar qual parte é template da Meta e qual parte é texto inserido por usuário sendo abusado de forma criativa
      Your Meta's Page may be at risk due to unusual activity...
      Your Page is under restriction review Contact Meta Support: metafanpageviolate@gmail.com ...

  • Será que algo parecido está acontecendo no PayPal também? Estou recebendo e-mails que parecem vir de um domínio do PayPal, mas são claramente golpe

    • Os casos de PayPal que eu vi geralmente funcionavam enviando uma solicitação de transferência de valor alto e usando o campo de texto livre do motivo para colocar uma mensagem falsa do tipo “se você acha que isso é golpe, ligue para [na verdade, número do golpista]”

  • Recentemente eu estava recebendo um monte de spam vindo de servidores MX do Google, e isso parou quando bloqueei todos os e-mails com o cabeçalho X-Google-Group-Id
    Não sei como isso era possível, mas o conteúdo era 100% controlado pelo spammer, sem nenhum template do Google

  • No passado eu já recebi um e-mail de golpe da Coinbase vindo de @akamai.com
    Parece que a configuração de SPF de uma das empresas adquiridas pela Akamai estava errada