Estafadores están abusando de una cuenta interna de Microsoft para enviar enlaces de spam

 (techcrunch.com)
1 puntos por GN⁺ 3 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Durante meses, estafadores han estado abusando de una dirección de correo interna de Microsoft para enviar correos spam disfrazados de notificaciones legítimas de cuenta
  • La dirección remitente en cuestión es msonlineservicesteam@microsoftonline.com, un canal oficial usado originalmente para alertas importantes de cuenta, como códigos de autenticación de dos factores
  • Los estafadores están aprovechando una falla del sistema creando nuevas cuentas de Microsoft, aunque todavía no está claro el método exacto de evasión
  • La organización sin fines de lucro antispam The Spamhaus Project observó el mismo abuso desde hace meses y notificó a Microsoft
  • Microsoft está investigando y tomando medidas ante los reportes de phishing, además de reforzar sus mecanismos de detección y bloqueo y eliminar cuentas que violan sus términos

Resumen del incidente

  • Durante varios meses, estafadores han explotado una falla para enviar correos no deseados mediante una dirección interna oficial de Microsoft usada para notificaciones de cuenta
  • Los estafadores crean nuevas cuentas de Microsoft haciéndose pasar por clientes nuevos y, a través de ese acceso, pueden enviar correos en nombre de Microsoft
  • Existe el riesgo de que los destinatarios confundan estos correos con alertas legítimas
  • Hasta ahora, Microsoft no ha logrado controlar por completo el problema

Características de los correos spam enviados

  • La semana pasada, un reportero de TechCrunch recibió varios correos spam con una estructura similar en distintas cuentas de correo
    • Todos fueron enviados desde la dirección msonlineservicesteam@microsoftonline.com
    • Esa dirección es una cuenta oficial que Microsoft usa para enviar códigos de autenticación de dos factores y otras alertas importantes relacionadas con cuentas en línea
  • Asunto y contenido de los correos
    • Algunos imitaban el formato de asuntos oficiales, como si fueran alertas de transacciones fraudulentas
    • Otros afirmaban en el cuerpo del mensaje que "hay un mensaje privado en espera" en la dirección web indicada
    • Los correos estaban hechos de forma burda (crudely made)

Observaciones de The Spamhaus Project

  • La organización antispam sin fines de lucro The Spamhaus Project anunció en una publicación social el martes que confirmó el mismo caso de abuso
    • Observó que la actividad de uso indebido de la dirección de correo de alertas de cuenta de Microsoft para enviar spam continúa desde hace "meses"
  • Spamhaus: "Los sistemas automatizados de notificaciones no deberían permitir este nivel de personalización"
  • La organización ya había informado del problema a Microsoft

Respuesta de Microsoft

  • Cuando TechCrunch consultó a Microsoft a inicios de semana, la empresa solo confirmó la recepción de la consulta y no respondió antes del cierre
  • Después de la publicación del artículo, Emelia Katon transmitió la postura oficial de Microsoft a través de una agencia externa de relaciones públicas
    • "Estamos investigando activamente y tomando medidas sobre los reportes de phishing mientras trabajamos para proteger a los clientes"
    • Se está avanzando en el refuerzo de los mecanismos de detección y bloqueo
    • También se está trabajando en la eliminación de cuentas que infringen los términos de uso

Casos similares de abuso

Lecturas relacionadas

1 comentarios

 
GN⁺ 3 시간 전
Comentarios en Hacker News

  • Cuesta ver cómo alguien puede estar seguro de que microsoftonline.com es real. La gestión de dominios de Microsoft es tan desastrosa que ni siquiera sorprendería que internamente no tuvieran una lista completa de todos los dominios que poseen
    Es irónico que las empresas insistan en que verifiques el dominio para distinguir el spam y, al mismo tiempo, no puedan publicar una lista de todos los dominios desde los que envían correos oficiales

    • Supongo que hablan de algo como que Microsoft se mudó de un dominio fácil de leer y recordar como office.com a un dominio raro y presumido como m365.cloud.microsoft
    • Es un tema un poco distinto, pero en India, cada vez que tocaba renovar el seguro, recibía al menos 12 llamadas diarias de estafa bancaria. Yo quería que los bancos publicaran números oficiales y obligaran a sus empleados a usar solo esos números, y hace poco el regulador de hecho hizo eso, así que los bancos solo pueden usar números 1600 para contactar a clientes
      Después de eso, las llamadas de estafa bancaria se redujeron a 0
    • Bluesky es todavía peor, porque algunos correos llegan desde moderation@blueskyweb.xyz
      Como además te piden enviar cosas como identificaciones a esa dirección, hasta tuvieron que publicar un mensaje para tranquilizar a la gente diciendo que no era una estafa: https://bsky.app/profile/safety.bsky.app/post/3ljp6zi7tp227
    • Además envuelven los enlaces del correo con dominios de rastreo de clics, y a veces ese dominio es algo totalmente ajeno a la empresa, como Mailgun
      Entonces, aunque verifiques directamente el enlace que vas a abrir, incluso un correo legítimo parece llevarte a un dominio fraudulento
    • Revisé lo primero que se me ocurrió y internalmicrosoft.com y microsoftinternal.com seguían disponibles para registrar. Si hay tanto margen de abuso, parecería lógico querer mantener un conjunto de dominios oficiales mucho más estricto

  • En un tema medio relacionado, la seguridad de Microsoft es realmente pésima
    Toda la semana pasada Microsoft Authenticator me estuvo mandando alertas de intentos de inicio de sesión desde varios lugares, pero la página del historial de inicios de sesión estaba completamente vacía. Ni siquiera aparecían mis propios accesos
    Uno podría pensar que se filtró la contraseña, pero no. El flujo de inicio de sesión predeterminado al tener la app activa es correo + Authenticator, y no requiere contraseña. Lo más absurdo es que esa opción no se puede cambiar desde la app
    Microsoft debería darse cuenta de que la única razón por la que esa cuenta sigue existiendo es porque compraron Minecraft, y dejar de complicarme la vida

    • Microsoft también tiene esa maravillosa función donde, si alguien falla demasiados intentos de inicio de sesión en tu cuenta, te la bloquean y te exigen restablecer la contraseña aunque la contraseña correcta sea válida
      Después de cambiarla, ni siquiera pude volver a iniciar sesión en el correo desde el teléfono, así que simplemente me rendí. Total, solo uso ese correo para unas pocas cosas
    • Yo pensaba que eso solo pasaba si había una cookie de sesión previa en el navegador o si la IP no cambiaba
      Edit: lo probé directamente con una IP nueva y una ventana privada de Firefox, y sí era cierto. Puedes poner el correo y elegir la notificación de la app
    • A mí me pasó lo mismo. Authenticator me pedía confirmación diciendo “inicio de sesión realizado”, pero cuando revisaba la página de seguridad no había ningún registro
      La primera vez me asusté y revisé todas las configuraciones de seguridad que encontré, pero parecía como si no hubiera pasado nada
      Desde la segunda vez simplemente lo ignoré, pero sigue siendo inquietante. En el flujo predeterminado de Authenticator también existe la posibilidad de pulsar por error el número correcto
    • A mí me empezó a pasar lo mismo hace unos meses, y las alertas se detuvieron cuando cambié la dirección de correo
      En realidad solo cambié el alias que apunta al mismo buzón de siempre
    • La misma empresa ahora quiere eliminar la autenticación en dos pasos por SMS y obligarte a usar su terrible app Authenticator

  • El dominio de nuestra empresa empieza con m. Últimamente varias personas cayeron en correos de phishing de un dominio que empieza con rn, porque en la fuente de Outlook ambos se ven casi iguales

  • Hace tiempo reservé un hotel en Booking y recibí un intento de phishing que parecía enviado por el hotel a través de correos del dominio de Booking y mensajes directos del sitio de Booking
    Cuando lo revisé en ese momento, no parecía ser un problema de cuenta comprometida del hotel, sino más bien que algún endpoint de mensajes/correos de Booking se estaba abusando de una forma parecida
    No sé si es el mismo tipo de caso, pero me parece interesante, especialmente que ya se le había reportado a Microsoft y aun así no hubo ninguna acción

    • Todos los casos de PayPal que vi fueron cuentas de correo del hotel o cuentas de Booking comprometidas
      Como huésped, ya “ayudé” más de diez veces a quitar malware o herramientas de acceso remoto de los sistemas del hotel

  • Me parece que la solución obvia es que las empresas dejen de crear un millón de dominios distintos y usen subdominios como internal.microsoft.com, pero da tristeza lo desconectado que está esto de la realidad cuando ni siquiera aquí nadie lo menciona

    • Encima hasta tienen .microsoft, así que no entiendo por qué se complican así
    • Totalmente cierto
      Una vez un organismo público alemán le envió a nuestra empresa una carta pidiendo una exportación de datos y que la subiéramos a findrive-ni.de
      Era legítimo, pero no era ni siquiera un subdominio del dominio del estado de Niedersachsen, ni estaba referenciado en ningún sitio oficial

  • Todos los días recibo unas 20 o 30 piezas de spam desde servidores de Google. Por diversión las estoy clasificando en una carpeta SPAM aparte
    No logro encontrar a quién contactar, cómo hacer que Google lo detenga ni dónde reportar el abuso del servicio. Todo el servicio parece básicamente un enorme “lárgate, no queremos que nos contacten”
    Ya hasta pienso que quizá debería publicar un post para que llegue aquí a HN. Tal vez así alguien de Google tenga algún incentivo para mirar el tema

    • Yo también me metí una vez en ese agujero. Probé todos los canales de reporte de abuso que pude encontrar
      network-abuse@ te manda al formulario de abuso de Google Cloud, y ahí te dicen que “la IP mencionada en el reporte no está alojada en Google Cloud, así que no podemos tomar medidas”
      El reporte de abuso de Gmail ni siquiera responde. Al final terminé bloqueando identificadores DKIM relacionados con Firebase en Rspamd
    • Puedes intentar aquí: https://support.google.com/mail/contact/abuse?hl=en
      La semana pasada envié una cuenta que mandaba correos de phishing, pero me dijeron que en la práctica es un agujero negro, así que no esperes que pase nada

  • Meta también tenía, o todavía tiene, un bug parecido en una de las funciones de Business Manager. El atacante puede controlar por completo el texto inicial del cuerpo, así que se ve bastante convincente
    Intenté reportarlo, pero fue totalmente inútil. Parece que hay tanto spam en bug bounty que el proceso de envío de reportes de seguridad a veces termina filtrando también problemas reales que sí llegan de vez en cuando

    • Llevo recibiendo estos correos desde hace tanto tiempo que empecé a preguntarme si no era yo el objetivo y no un problema extendido, porque Meta parecía no hacer nada
      Los correos realmente llegan desde noreply@business.facebook.com, e incluyen texto como el siguiente. Es del tipo “descifra tú mismo qué parte es plantilla de Meta y qué parte es texto introducido por el usuario y abusado creativamente”
      Your Meta's Page may be at risk due to unusual activity...
      Your Page is under restriction review Contact Meta Support: metafanpageviolate@gmail.com ...

  • ¿Está pasando algo parecido también en PayPal? Estoy recibiendo correos que parecen venir de un dominio de PayPal, pero son claramente una estafa

    • Los casos de PayPal que vi normalmente consistían en enviar una solicitud de transferencia por una cantidad grande y, en el campo de texto libre para el motivo, meter un mensaje falso de “si crees que esto es una estafa, llama a [en realidad un número fraudulento]”

  • Últimamente estuve recibiendo un montón de spam desde servidores MX de Google, y se detuvo al bloquear todos los correos con el encabezado X-Google-Group-Id
    No sé cómo era posible, pero el contenido estaba 100% controlado por el spammer y no había ninguna plantilla de Google

  • Hace tiempo recibí un correo fraudulento de Coinbase que venía desde @akamai.com
    Parece que una de las empresas que Akamai adquirió tenía mal configurado el SPF