Depuis plusieurs mois, des escrocs exploitent une vulnérabilité dans une adresse e-mail interne de Microsoft destinée à l'envoi de notifications officielles. Des criminels ont pu enregistrer des comptes Microsoft en tant que nouveaux clients et envoyer de faux messages au nom du géant de la technologie. Cela pousse les utilisateurs à croire en l'authenticité de ces e-mails. C'est ce que rapporte Techcrunch.com rapporte .
Les attaques sont menées via l'adresse msonlineservicesteam@microsoftonline.com. Habituellement, Microsoft utilise cette adresse pour envoyer des codes d'authentification à deux facteurs et des alertes importantes sur la sécurité des comptes. Les e-mails envoyés par les escrocs contiennent des objets concernant de fausses alertes de transaction ou de fausses informations sur la présence de messages personnels, incluant des liens vers des sites suspects.
L'organisation à but non lucratif Spamhaus Project a confirmé que ce problème persiste depuis plusieurs mois. Les représentants de l'organisation ont souligné que les systèmes de notification automatisés ne devraient pas permettre aux utilisateurs de modifier le contenu des e-mails aussi librement. Spamhaus a officiellement informé Microsoft de ce risque.
Jusqu'à présent, Microsoft n'a pas fourni d'informations précises sur la résolution ou non de cette vulnérabilité. Bien qu'un porte-parole de l'entreprise ait confirmé à TechCrunch la réception de la demande, il n'a pas fourni de commentaire détaillé sur la situation. Ce n'est pas le premier cas de fraude réalisé via les systèmes de grandes entreprises récemment.
Pour rappel, la plateforme fintech Betterment et le service Namecheap ont déjà été confrontés à des attaques similaires. À l'époque, des pirates avaient accédé aux systèmes des entreprises pour diffuser des messages de phishing visant à voler les cryptomonnaies et les données personnelles des utilisateurs.
Lisez “Zamin” sur Telegram !
