لعدة أشهر، استفاد المحتالون من ثغرة تسمح لهم بإرسال رسائل بريد إلكتروني غير مرغوب فيها من عنوان بريد إلكتروني داخلي لشركة Microsoft يستخدم عادةً لإرسال تنبيهات الحساب المشروعة.
ليس من الواضح كيف يسيئ المحتالون استخدام النظام، لكنهم تمكنوا من إنشاء حسابات Microsoft جديدة كما لو كانوا عملاء جدد، واستخدام هذا الوصول لإرسال رسائل بريد إلكتروني يُزعم أنها من عملاق التكنولوجيا نفسه، مما قد يخدع الناس للاعتقاد بأن رسائل البريد الإلكتروني هذه قد تكون حقيقية.
لا يبدو أن Microsoft قد تمكنت حتى الآن من التعامل مع هذه المشكلة.
في الأسبوع الماضي، تلقيت عدة رسائل بريد إلكتروني منظمة بشكل مماثل تحتوي على سطور الموضوع وروابط ويب لمواقع احتيالية من Microsoft عبر حسابات بريد إلكتروني مختلفة. تم إرسال رسائل البريد الإلكتروني هذه بشكل فظ من msonlineservicesteam@microsoftonline.com، وهو حساب بريد إلكتروني تستخدمه Microsoft لإرسال إشعارات مهمة إلى المستخدمين، مثل رموز المصادقة الثنائية والتنبيهات الهامة الأخرى حول حساباتهم عبر الإنترنت.
تشبه بعض سطور موضوع رسائل البريد الإلكتروني هذه رسائل البريد الإلكتروني الرسمية التي من شأنها تنبيه المستخدمين إلى المعاملات الاحتيالية، بينما تزعم رسائل البريد الإلكتروني الأخرى أن لديها رسائل خاصة تنتظر المستلم على عنوان ويب مذكور في نص البريد الإلكتروني.
في منشور اجتماعي يوم الثلاثاء، قالت منظمة Spamhaus Project غير الربحية لمكافحة البريد العشوائي، إنها شاهدت أيضًا إساءة استخدام عنوان البريد الإلكتروني لإشعار حساب Microsoft لإرسال رسائل غير مرغوب فيها، وأن النشاط يعود إلى “عدة أشهر”.
كتب سبامهاوس: “لا ينبغي لأنظمة الإشعارات الآلية أن تسمح بهذا المستوى من التخصيص”. وأضافت المنظمة غير الربحية أنها أخطرت مايكروسوفت بالمشكلة.
عندما اتصلت TechCrunch في وقت سابق من هذا الأسبوع، أقر متحدث باسم Microsoft باستفسارنا، لكنه لم يعلق بعد أو يذكر ما إذا كانت الشركة قد توقفت عن إساءة استخدام البريد الإلكتروني لإشعار الحساب الخاص بها.
هذا هو الأحدث في سلسلة من الحوادث التي قام فيها المتسللون أو المحتالون بإساءة استخدام أنظمة الشركة لخداع العملاء المطمئنين في الأشهر الأخيرة. في وقت سابق من هذا العام، اخترق المتسللون منصة تستخدمها شركة Betterment للتكنولوجيا المالية لإرسال إشعارات احتيالية تهدف إلى زيادة قيمة أي مستخدم للعملات المشفرة ثلاثة أضعاف – وهي عملية احتيال معروفة على نطاق واسع تستخدم لسرقة العملات المشفرة للأشخاص.
في عام 2023، أساء المتسللون بالمثل إساءة استخدام الوصول إلى حساب بريد إلكتروني تديره شركة Namecheap لإرسال رسائل بريد إلكتروني تصيدية تهدف إلى سرقة بيانات اعتماد الأشخاص.
يقول مستخدمون آخرون يعلقون على وسائل التواصل الاجتماعي إن عناوين البريد الإلكتروني الخاصة بشركات أخرى تُستخدم أيضًا لإرسال رسائل غير مرغوب فيها، مما يشير إلى أن المشكلة لا تقتصر على Microsoft.
عندما تقوم بالشراء من خلال الروابط الموجودة في مقالاتنا، قد نكسب عمولة صغيرة. هذا لا يؤثر على استقلالنا التحريري.
