ОтветыОпубликовано12 источники
Как мошенники отправляют фишинговые письма с реального адреса Microsoft
Злоумышленники используют функции Microsoft Entra ID и настройки арендатора Microsoft 365, чтобы система Microsoft сама отправляла фишинговые письма. Сообщения приходят с настоящего адреса msonlineservicesteam@microsoftonline.com и проходят проверки SPF, DKIM и DMARC, поэтому выглядят технически легитимными.
1.2M0
Промпт ИИ
openai.comCreate a landscape editorial hero image for this Studio Global article: How are scammers exploiting a vulnerability in Microsoft’s systems to send phishing emails from the legitimate address msonlineservicesteam@. Article summary: Scammers appear to be abusing Microsoft’s own notification workflow so Microsoft’s infrastructure sends the phishing email for them, which is why messages can come from the legitimate address msonlineservicesteam@microso. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "# Sophisticated Phishing Campaign Exploiting Microsoft 365 Infrastructure. This technique effectively bypasses traditional email security controls by exploiting inherent trust mech" source context "Microsoft 365 Phishing Campaign: Attack Breakdown - Guardz" Reference image 2: visual subject "Attackers exploit Microsoft Entra ID
Обычно фишинговые письма пытаются подделать адрес отправителя или используют домены, похожие на настоящие. В этой кампании злоумышленники пошли дальше — они заставляют саму Microsoft отправлять письма за них.
Исследователи и журналисты заметили, что подозрительные сообщения приходят с реального служебного адреса msonlineservicesteam@microsoftonline.com, который обычно используется для уведомлений о безопасности аккаунта и кодов подтверждения. Поскольку письмо действительно отправляется инфраструктурой Microsoft, оно может выглядеть технически подлинным и проходить стандартные проверки почтовой безопасности.
По данным исследователей, подобная активность продолжается уже несколько месяцев. При этом речь не идет о взломе серверов Microsoft — злоумышленники используют обычные механизмы работы учетных записей и уведомлений.
Как работает атака
Анализ кампании показывает, что она связана с использованием возможностей Microsoft Entra ID (ранее Azure Active Directory) и настроек брендинга арендатора.
Типичная схема выглядит так:
-
Создание нового тенанта Microsoft 365
Злоумышленники регистрируют новый Microsoft 365‑тенант, часто используя временный домен вида*.onmicrosoft.com. Это дает им доступ к стандартным административным настройкам.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Люди также спрашивают
Каков краткий ответ на вопрос «Как мошенники отправляют фишинговые письма с реального адреса Microsoft»?
Злоумышленники используют функции Microsoft Entra ID и настройки арендатора Microsoft 365, чтобы система Microsoft сама отправляла фишинговые письма.
Какие ключевые моменты необходимо проверить в первую очередь?
Злоумышленники используют функции Microsoft Entra ID и настройки арендатора Microsoft 365, чтобы система Microsoft сама отправляла фишинговые письма. Сообщения приходят с настоящего адреса msonlineservicesteam@microsoftonline.com и проходят проверки SPF, DKIM и DMARC, поэтому выглядят технически легитимными.
Что мне делать дальше на практике?
Исследователи и антиспам‑организации сообщают, что схема используется уже несколько месяцев и основана на массовом создании одноразовых Microsoft 365‑тенантов.
Источники
- techcrunch.comScammers are abusing an official Microsoft email address to send ...
- abnormal.aiHow Attackers Force Microsoft to Send Phishing Emails | Abnormal AI
- thehackernews.comMicrosoft Warns OAuth Redirect Abuse Delivers Malware to ...
- bleepingcomputer.comMicrosoft: Hackers abuse OAuth error flows to spread malware
- helpnetsecurity.comThreat actors weaponize OAuth redirection logic to deliver ...
Loading comments...
Comments
0 comments