Kẻ lừa đảo đang lợi dụng tài khoản nội bộ của Microsoft để gửi liên kết spam

 (techcrunch.com)
1 điểm bởi GN⁺ 3 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Trong nhiều tháng qua, đã xảy ra vụ việc những kẻ lừa đảo lợi dụng địa chỉ email nội bộ của Microsoft để gửi thư rác ngụy trang như thông báo tài khoản chính thức
  • Địa chỉ người gửi liên quan là msonlineservicesteam@microsoftonline.com, vốn là kênh chính thức dùng cho các thông báo tài khoản quan trọng như mã xác thực hai bước
  • Những kẻ lừa đảo đang khai thác lỗ hổng hệ thống bằng cách tạo tài khoản Microsoft mới, nhưng cách thức vượt qua cụ thể hiện vẫn chưa rõ
  • Tổ chức phi lợi nhuận chống spam The Spamhaus Project đã quan sát thấy cùng kiểu lạm dụng này từ nhiều tháng trước và đã thông báo cho Microsoft
  • Microsoft cho biết đang điều tra và xử lý các báo cáo lừa đảo phishing, đồng thời tăng cường cơ chế phát hiện/chặn và xóa các tài khoản vi phạm điều khoản

Tổng quan sự việc

  • Trong suốt nhiều tháng, những kẻ lừa đảo đã khai thác một lỗ hổng cho phép gửi email spam thông qua địa chỉ email nội bộ chính thức của Microsoft dùng để gửi thông báo tài khoản
  • Những kẻ lừa đảo tạo tài khoản Microsoft mới như thể là khách hàng mới, rồi thông qua quyền truy cập đó có thể gửi email dưới danh nghĩa Microsoft
  • Người nhận có nguy cơ nhầm lẫn đây là thông báo chính hãng
  • Microsoft hiện vẫn chưa kiểm soát hoàn toàn được vấn đề này

Đặc điểm của các email spam đã được gửi

  • Trong tuần trước, một phóng viên TechCrunch đã nhận được nhiều email spam có cấu trúc tương tự trên nhiều tài khoản email khác nhau
    • Tất cả đều được gửi từ địa chỉ msonlineservicesteam@microsoftonline.com
    • Đây là tài khoản chính thức mà Microsoft sử dụng để gửi mã xác thực hai bước và các thông báo quan trọng liên quan đến tài khoản trực tuyến
  • Tiêu đề và cách tổ chức nội dung email
    • Một số email bắt chước định dạng tiêu đề của thư chính thức, trông như thông báo giao dịch bất thường
    • Các email khác tuyên bố rằng có "một tin nhắn riêng đang chờ" tại địa chỉ web được ghi trong nội dung thư
    • Các email được làm rất sơ sài (crudely made)

Quan sát của Spamhaus Project

  • Tổ chức phi lợi nhuận chống spam The Spamhaus Project cho biết trong một bài đăng xã hội hôm thứ Ba rằng họ đã xác nhận cùng một hình thức lạm dụng
    • Họ quan sát thấy hoạt động lạm dụng địa chỉ email thông báo tài khoản của Microsoft để gửi spam đã diễn ra trong "nhiều tháng"
  • Spamhaus: "Hệ thống thông báo tự động không nên cho phép mức độ tùy biến như thế này"
  • Tổ chức này cho biết đã thông báo vấn đề cho Microsoft

Phản hồi của Microsoft

  • Khi TechCrunch liên hệ Microsoft vào đầu tuần, công ty chỉ xác nhận đã tiếp nhận yêu cầu và không phản hồi thêm trước thời hạn chót
  • Sau khi bài báo được đăng, Emelia Katon đã chuyển tuyên bố chính thức của Microsoft thông qua một công ty PR bên ngoài
    • "Chúng tôi đang tích cực điều tra và xử lý các báo cáo phishing và nỗ lực để bảo vệ khách hàng"
    • Đang tăng cường cơ chế phát hiện và chặn
    • Đồng thời loại bỏ các tài khoản vi phạm điều khoản

Các trường hợp lạm dụng tương tự

  • Trong vài tháng gần đây, đã liên tiếp xuất hiện các vụ hacker và kẻ lừa đảo lợi dụng hệ thống doanh nghiệp để đánh lừa khách hàng
  • Trường hợp xảy ra vào đầu năm nay
    • Hacker xâm nhập vào nền tảng mà công ty fintech Betterment sử dụng
    • Gửi [thông báo giả mạo hứa sẽ tăng gấp 3 giá trị số tiền mã hóa mà người dùng đã chuyển](https://techcrunch.com/2026/01/12/fintech-firm-betterment-confirms-data-breach-after-hackers-send-fake-crypto-scam-notification-to-users/) (một trò lừa đảo đánh cắp crypto điển hình)
  • Trường hợp năm 2023
  • Theo người dùng mạng xã hội, địa chỉ email của các công ty khác cũng đang bị lợi dụng để phát tán spam, cho thấy vấn đề này không chỉ giới hạn ở Microsoft

Bài viết liên quan

1 bình luận

 
GN⁺ 3 giờ trước
Ý kiến trên Hacker News

  • Tôi không chắc ai có thể khẳng định microsoftonline.com là thật. Việc quản lý tên miền của Microsoft quá lộn xộn, đến mức sẽ không ngạc nhiên nếu ngay cả nội bộ họ cũng không có danh sách đầy đủ toàn bộ tài sản tên miền mình sở hữu
    Thật mỉa mai khi các công ty cứ khăng khăng bảo phải kiểm tra tên miền để phân biệt spam, nhưng lại không thể công khai danh sách tất cả các tên miền họ dùng chính thức để gửi email

    • Chắc là đang nói đến chuyện Microsoft rời khỏi những tên miền dễ đọc, dễ nhớ như office.com để chuyển sang kiểu tên miền phô trương kỳ quặc như m365.cloud.microsoft
    • Hơi khác chủ đề một chút, nhưng ở Ấn Độ cứ đến kỳ gia hạn bảo hiểm là tôi nhận ít nhất 12 cuộc gọi lừa đảo mạo danh ngân hàng mỗi ngày. Tôi từng ước các ngân hàng sẽ công khai số điện thoại chính thức và bắt buộc nhân viên chỉ dùng số đó, và gần đây cơ quan quản lý đã thực sự làm như vậy nên ngân hàng chỉ được dùng đầu số 1600 để liên hệ khách hàng
      Sau đó số cuộc gọi lừa đảo mạo danh ngân hàng giảm về 0
    • Bluesky còn tệ hơn, có những email lại được gửi từ moderation@blueskyweb.xyz
      Đặc biệt là họ còn yêu cầu gửi những thứ như giấy tờ tùy thân về địa chỉ đó, nên họ thậm chí phải đăng bài trấn an rằng đó không phải lừa đảo: https://bsky.app/profile/safety.bsky.app/post/3ljp6zi7tp227
    • Hơn nữa, họ còn bọc các liên kết trong email bằng tên miền theo dõi lượt nhấp, mà đôi khi tên miền đó lại là thứ hoàn toàn không liên quan đến công ty như Mailgun
      Vì thế ngay cả khi tự kiểm tra liên kết sắp bấm, email hợp pháp vẫn trông như đang dẫn đến một tên miền lừa đảo
    • Tôi vừa tra thử thứ đầu tiên nghĩ ra thì thấy internalmicrosoft.commicrosoftinternal.com vẫn còn có thể đăng ký. Nếu khả năng bị lợi dụng lớn như vậy thì hẳn người ta sẽ muốn quản lý chặt chẽ hơn nhiều cụm tên miền chính thức

  • Nói nửa liên quan một chút, bảo mật của Microsoft thực sự rất tệ
    Cả tuần trước Microsoft Authenticator liên tục gửi thông báo rằng có đăng nhập ở chỗ này chỗ kia, nhưng trang lịch sử đăng nhập thì hoàn toàn trống trơn. Ngay cả đăng nhập của tôi cũng không hiện
    Có thể nghĩ là mật khẩu đã bị lộ, nhưng không phải. Luồng đăng nhập mặc định khi bật ứng dụng là email + Authenticator, không cần mật khẩu. Điều còn vô lý hơn là không thể đổi tùy chọn này trong ứng dụng
    Microsoft nên nhận ra lý do duy nhất tài khoản đó còn tồn tại là vì họ đã mua lại Minecraft, và đừng làm cuộc sống của tôi phức tạp thêm

    • Microsoft còn có một tính năng tuyệt vời là nếu ai đó đăng nhập sai quá nhiều lần thì tài khoản sẽ bị khóa và yêu cầu đặt lại mật khẩu, kể cả khi bạn nhập đúng mật khẩu
      Sau khi đổi mật khẩu xong tôi vẫn không đăng nhập email trên điện thoại được nên đành bỏ luôn. Dù sao tôi cũng chỉ dùng email đó cho vài việc
    • Tôi cứ nghĩ việc đó chỉ xảy ra nếu trình duyệt còn cookie phiên trước hoặc IP chưa thay đổi
      Sửa: tôi đã tự thử bằng IP mới và cửa sổ riêng tư của Firefox, và đúng là vậy. Chỉ cần nhập email rồi có thể chọn thông báo ứng dụng
    • Tôi cũng gặp y hệt. Authenticator yêu cầu xác nhận và báo là “đang đăng nhập”, nhưng khi vào trang bảo mật kiểm tra thì hoàn toàn không có bản ghi nào
      Lúc đầu tôi hoảng nên lục tung mọi cài đặt bảo mật có thể tìm thấy, nhưng trông như chẳng có chuyện gì xảy ra cả
      Từ lần thứ hai trở đi thì tôi cứ mặc kệ, nhưng vẫn thấy bất an. Với luồng Authenticator mặc định thì vẫn có khả năng bấm nhầm đúng con số
    • Tôi cũng bắt đầu gặp hiện tượng tương tự từ vài tháng trước, và khi đổi địa chỉ email thì thông báo dừng lại
      Thực ra tôi chỉ đổi bí danh vẫn trỏ về cùng một hộp thư như trước
    • Cũng chính công ty đó đang ngừng xác thực hai yếu tố qua SMS để ép mọi người dùng ứng dụng Authenticator tệ hại của họ

  • Tên miền công ty chúng tôi bắt đầu bằng m. Gần đây nhiều người đã dính email lừa đảo từ các tên miền bắt đầu bằng rn, vì trong phông chữ của Outlook hai cái đó trông gần như giống hệt nhau

  • Trước đây tôi từng đặt khách sạn qua Booking và nhận được một nỗ lực lừa đảo trông như do khách sạn gửi qua email tên miền của Booking và DM
    Lúc đó sau khi xem xét, có vẻ đây không phải vấn đề tài khoản khách sạn bị xâm nhập mà là một endpoint nhắn tin/email nào đó phía Booking bị lợi dụng theo cách tương tự
    Không biết có cùng loại hay không, nhưng khá thú vị, nhất là ở chỗ phía Microsoft đã được báo rồi mà dường như không có hành động nào

    • Các trường hợp PayPal tôi từng thấy thì hầu hết là email khách sạn hoặc tài khoản Booking bị xâm nhập
      Với tư cách khách lưu trú, tôi đã hơn mười lần “giúp” gỡ phần mềm độc hại hoặc công cụ truy cập từ xa khỏi hệ thống khách sạn

  • Tôi nghĩ giải pháp hiển nhiên là các công ty đừng tạo ra một triệu tên miền khác nhau mà hãy dùng tên miền phụ như internal.microsoft.com, nhưng thật buồn vì thực tế lại xa đến mức ở đây thậm chí chẳng ai nhắc đến điều đó

    • Họ còn sở hữu cả .microsoft, nên tôi càng không hiểu tại sao lại phải làm vậy
    • Chuẩn
      Trước đây một cơ quan chính phủ Đức từng gửi thư yêu cầu công ty chúng tôi xuất dữ liệu và tải lên findrive-ni.de
      Nó thực sự là hợp pháp, nhưng lại không phải tên miền phụ của bang Niedersachsen, cũng không được tham chiếu ở đâu trên trang chính thức

  • Mỗi ngày tôi nhận khoảng 20~30 email spam từ máy chủ của Google. Cho vui thì tôi đang phân loại chúng vào một thư mục SPAM riêng
    Tôi không tìm ra phải liên hệ ai, làm thế nào để Google chặn lại, hay phải báo lạm dụng dịch vụ ở đâu. Cả hệ thống về cơ bản như một cái biển khổng lồ “biến đi, đừng liên hệ chúng tôi”
    Có lẽ tôi cũng phải công khai một bài viết để nó lên HN như thế này. Biết đâu như vậy mới tạo được động lực để ai đó ở Google xem xét

    • Tôi cũng từng chui xuống cái hang thỏ đó rồi. Tôi thử mọi kênh báo cáo lạm dụng có thể tìm thấy
      network-abuse@ thì chuyển sang biểu mẫu báo lạm dụng Google Cloud, còn bên đó lại bảo “IP được nhắc đến trong báo cáo không được host trên Google Cloud nên chúng tôi không thể xử lý”
      Báo lạm dụng Gmail thì thậm chí không có phản hồi. Cuối cùng tôi chặn các định danh DKIM liên quan đến Firebase trong Rspamd
    • Có thể thử ở đây: https://support.google.com/mail/contact/abuse?hl=en
      Tuần trước tôi đã gửi tài khoản phát tán email lừa đảo, nhưng được bảo đó về cơ bản là hố đen nên đừng mong có chuyện gì xảy ra

  • Meta cũng từng có hoặc vẫn còn một lỗi tương tự ở một trong các chức năng Business Manager. Kẻ tấn công có thể kiểm soát hoàn toàn phần văn bản nội dung ban đầu, nên trông rất thuyết phục
    Tôi đã thử báo cáo chuyện này nhưng hoàn toàn vô ích. Có vẻ quy trình gửi vấn đề bảo mật bị ngập trong spam bug bounty đến mức đôi khi lọc luôn cả những vấn đề thật sự hiếm hoi được gửi vào

    • Tôi nhận những email kiểu này lâu đến mức bắt đầu tự hỏi có phải không phải vấn đề phổ biến mà là chỉ mình tôi bị nhắm mục tiêu không. Vì trông như Meta chẳng làm gì cả
      Email thực sự đến từ noreply@business.facebook.com, và chứa đoạn như bên dưới. Mức độ là bạn phải tự giải mã xem phần nào là mẫu của Meta, phần nào là văn bản do người dùng nhập vào rồi bị lợi dụng một cách sáng tạo
      Your Meta's Page may be at risk due to unusual activity...
      Your Page is under restriction review Contact Meta Support: metafanpageviolate@gmail.com ...

  • Có phải PayPal cũng đang gặp chuyện tương tự không? Tôi đang nhận email trông như đến từ tên miền PayPal, nhưng rõ ràng là lừa đảo

    • Các trường hợp PayPal tôi từng thấy phần lớn là gửi yêu cầu chuyển tiền số tiền lớn, rồi trong trường nhập tự do cho lý do lại chèn thêm câu giả mạo kiểu “nếu nghĩ đây là lừa đảo thì hãy gọi [số điện thoại lừa đảo thật]”

  • Gần đây sau khi nhận hàng đống spam từ máy chủ MX của Google, tôi chặn tất cả email có header X-Google-Group-Id thì chúng dừng lại
    Tôi không biết họ làm được thế nào, nhưng nội dung thì do spammer kiểm soát 100%, không có mẫu nào của Google

  • Trước đây tôi từng nhận một email lừa đảo Coinbase từ @akamai.com
    Có vẻ SPF của một công ty nào đó mà Akamai mua lại đã bị cấu hình sai