警惕微软邮箱诈骗：官方通知渠道遭冒用数月，用户需立即防范

一个已被利用数月的系统漏洞，正让诈骗分子得以滥用微软的官方通知邮箱。这个本用于发送账户安全警报的受信任渠道，如今却沦为批量分发欺诈邮件的工具。

攻击者具体的操作路径尚未完全公开，但已知他们通过注册新的微软账户，获取了伪装成官方身份发送邮件的权限。这种源自可信发件地址的邮件，极大地降低了用户的戒备心，提升了诈骗的成功率。

关键问题在于，这一安全缺陷在曝光后，似乎仍未得到微软的彻底修复。

极具迷惑性的官方伪装手法

近期，Techcrunch的编辑在多个邮箱中收到了格式雷同的邮件。这些邮件均声称来自微软，并包含指向诈骗网站的链接。尽管邮件正文内容粗糙，但其发件人地址却显示为微软官方的通知邮箱：msonlineservicesteam@microsoftonline.com。该地址的合法用途本应是发送双重认证码及账户安全风险警告。

部分诈骗邮件伪装成账户异常交易警报，另一些则诱导用户点击链接查看所谓的“私人留言”。虽然核心骗术陈旧，但凭借官方邮箱的背书，其欺骗性显著增强。

长达数月的漏洞与行业性威胁

非营利反垃圾邮件组织The Spamhaus Project本周二公开证实，他们监测到微软账户通知邮箱被滥用于发送垃圾邮件，且此情况已持续数月。

该组织强调：“官方的自动化通知系统绝不应被如此篡改和冒用。” 并表示已就此事向微软发出通报。

这一事件是更大趋势的缩影。近期，攻击者频繁劫持企业官方通信系统进行诈骗。例如，今年早些时候，黑客入侵了金融科技公司Betterment的平台，伪造通知诱骗用户转入加密货币以获取虚假的高额回报。

更早的案例可追溯至2023年，当时域名服务商Namecheap的官方邮箱遭盗用，大量发送钓鱼邮件，导致众多用户凭证泄露。

社交媒体上的用户报告也显示，多家企业的官方邮箱均已成为诈骗渠道。这清晰地表明，官方邮箱被冒用已是一个跨行业的普遍性安全挑战，而非微软一家公司面临的孤立问题。

来源：互联网