มิจฉาชีพกำลังใช้บัญชีภายในของ Microsoft ในการส่งลิงก์สแปม

 (techcrunch.com)
1 คะแนน โดย GN⁺ 3 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ตลอดหลายเดือนที่ผ่านมา เกิดกรณีที่มิจฉาชีพใช้ประโยชน์จาก ที่อยู่อีเมลภายในของ Microsoft เพื่อส่งอีเมลสแปมที่ปลอมตัวเป็นการแจ้งเตือนบัญชีอย่างเป็นทางการ
  • ที่อยู่ผู้ส่งที่เป็นปัญหาคือ msonlineservicesteam@microsoftonline.com ซึ่งเดิมเป็นช่องทางทางการที่ใช้สำหรับการแจ้งเตือนบัญชีสำคัญ เช่น โค้ดยืนยันตัวตนแบบ 2 ขั้นตอน
  • มิจฉาชีพกำลังอาศัยช่องโหว่ของระบบด้วยการสร้าง บัญชี Microsoft ใหม่ แต่รายละเอียดของวิธีหลบเลี่ยงที่แน่ชัดยังไม่เป็นที่ทราบ
  • องค์กรไม่แสวงหากำไรด้านต่อต้านสแปม The Spamhaus Project ได้สังเกตการใช้งานในลักษณะเดียวกันนี้มาตั้งแต่หลายเดือนก่อน และได้แจ้ง Microsoft แล้ว
  • Microsoft กำลัง ตรวจสอบและดำเนินการต่อรายงานฟิชชิง พร้อมทั้งเสริมกลไกการตรวจจับและบล็อก รวมถึงลบบัญชีที่ละเมิดข้อกำหนดการใช้งาน

ภาพรวมของเหตุการณ์

  • ตลอดหลายเดือน มิจฉาชีพได้อาศัยช่องโหว่ที่ทำให้สามารถส่งอีเมลสแปมผ่าน ที่อยู่อีเมลภายในของ Microsoft ที่ใช้ส่งการแจ้งเตือนบัญชีอย่างเป็นทางการ
  • มิจฉาชีพสร้าง บัญชี Microsoft ใหม่ ให้ดูเหมือนเป็นลูกค้าใหม่ แล้วใช้สิทธิ์เข้าถึงนั้นเพื่อส่งอีเมลในนาม Microsoft
  • มีความเสี่ยงที่ผู้รับจะ เข้าใจผิดว่าเป็นการแจ้งเตือนของจริง
  • จนถึงขณะนี้ Microsoft ยังไม่สามารถควบคุมปัญหาได้อย่างสมบูรณ์

ลักษณะของอีเมลสแปมที่ถูกส่ง

  • เมื่อสัปดาห์ที่แล้ว ผู้สื่อข่าวของ TechCrunch ได้รับอีเมลสแปมจำนวนมากที่มีโครงสร้างคล้ายกันในหลายบัญชีอีเมล
    • ทั้งหมดถูกส่งจากที่อยู่ msonlineservicesteam@microsoftonline.com
    • ที่อยู่นี้เป็นบัญชีทางการที่ Microsoft ใช้ส่ง โค้ดยืนยันตัวตนแบบ 2 ขั้นตอน และการแจ้งเตือนสำคัญเกี่ยวกับบัญชีออนไลน์
  • หัวข้อและรูปแบบเนื้อหาอีเมล
    • อีเมลบางฉบับเลียนแบบรูปแบบหัวข้อของอีเมลทางการที่ดูเหมือนเป็น การแจ้งเตือนธุรกรรมผิดปกติ
    • อีเมลบางฉบับอ้างว่า "มีข้อความส่วนตัวกำลังรออยู่" ที่เว็บแอดเดรสที่ระบุไว้ในเนื้อหา
    • ตัวอีเมลถูกทำขึ้นอย่างหยาบ ๆ

การสังเกตของ The Spamhaus Project

  • องค์กรไม่แสวงหากำไรด้านต่อต้านสแปม The Spamhaus Project ประกาศผ่านโพสต์บนโซเชียลเมื่อวันอังคารว่าได้ยืนยันการใช้งานในทางที่ผิดลักษณะเดียวกันนี้
    • พบว่ากิจกรรมที่ใช้ที่อยู่อีเมลแจ้งเตือนบัญชีของ Microsoft ไปส่งสแปมดำเนินต่อเนื่องมา "หลายเดือน" แล้ว
  • Spamhaus ระบุว่า "ระบบแจ้งเตือนอัตโนมัติไม่ควรเปิดให้ปรับแต่งได้ในระดับนี้"
  • องค์กรดังกล่าวได้แจ้งปัญหานี้ให้ Microsoft ทราบแล้ว

การตอบสนองของ Microsoft

  • ตอนที่ TechCrunch ติดต่อ Microsoft เมื่อต้นสัปดาห์ Microsoft เพียงยืนยันว่าได้รับคำถามแล้ว และไม่มีคำตอบภายในเส้นตายก่อนเผยแพร่
  • หลังบทความเผยแพร่ Emelia Katon ได้ส่งจุดยืนอย่างเป็นทางการของ Microsoft ผ่านบริษัทประชาสัมพันธ์ภายนอก
    • "เรากำลังตรวจสอบและดำเนินการเชิงรุกต่อรายงานฟิชชิง และพยายามปกป้องลูกค้า"
    • กำลังดำเนินการ เสริมความแข็งแกร่งให้กลไกการตรวจจับและบล็อก
    • เดินหน้าลบ บัญชีที่ละเมิดข้อกำหนดการใช้งาน ควบคู่กันไป

กรณีการใช้งานในทางที่ผิดที่คล้ายกัน

  • ในช่วงไม่กี่เดือนที่ผ่านมา มีเหตุการณ์ต่อเนื่องที่แฮ็กเกอร์และมิจฉาชีพใช้ระบบของบริษัทต่าง ๆ เพื่อหลอกลูกค้า
  • กรณีที่เกิดขึ้นเมื่อต้นปีนี้
  • กรณีในปี 2023
  • ตามคำบอกเล่าของผู้ใช้โซเชียลมีเดีย ที่อยู่อีเมลของบริษัทอื่น ๆ ก็ถูกนำไปใช้ส่งสแปมในลักษณะเดียวกันเช่นกัน แสดงให้เห็นว่าปัญหานี้ ไม่ได้จำกัดอยู่แค่ Microsoft

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 3 시간 전
ความคิดเห็นจาก Hacker News

  • ก็ไม่รู้ว่าใครจะมั่นใจได้ว่า microsoftonline.com เป็นของจริง โดเมนของ Microsoft จัดการกันเละเทะมาก ถึงขนาดว่าต่อให้ภายในเองไม่มีรายการทรัพย์สินโดเมนทั้งหมดที่ตัวเองถืออยู่ครบถ้วนก็ไม่น่าแปลกใจ
    มันน่าขันตรงที่บริษัทต่าง ๆ ยืนกรานให้ตรวจสอบโดเมนเพื่อแยกสแปม แต่กลับไม่สามารถเผยแพร่รายชื่อโดเมนทั้งหมดที่ใช้ส่งอีเมลอย่างเป็นทางการได้

    • หมายถึงเรื่องประมาณที่ Microsoft ย้ายจากโดเมนที่อ่านง่ายจำง่ายอย่าง office.com ไปเป็นโดเมนโชว์พาวแปลก ๆ อย่าง m365.cloud.microsoft ใช่ไหม
    • เป็นคนละประเด็นนิดหน่อย แต่ตอนถึงรอบต่อประกันในอินเดีย ผมโดนสายหลอกลวงอ้างเป็นธนาคารอย่างน้อยวันละ 12 สาย ผมเคยหวังว่าธนาคารจะประกาศเบอร์ทางการและบังคับให้พนักงานใช้เฉพาะเบอร์นั้น ซึ่งล่าสุดหน่วยงานกำกับดูแลก็ทำจริงแล้ว ทำให้ธนาคารต้องใช้ หมายเลข 1600 เท่านั้นในการติดต่อกับลูกค้า
      หลังจากนั้นสายหลอกลวงอ้างเป็นธนาคารก็ลดเหลือ 0 สาย
    • Bluesky หนักกว่านั้นอีก เพราะอีเมลบางฉบับมาจาก moderation@blueskyweb.xyz
      โดยเฉพาะเวลาขอให้ส่งของอย่างบัตรประชาชนไปยังที่อยู่นั้น ถึงขั้นต้องโพสต์ยืนยันว่าไม่ใช่การหลอกลวง: https://bsky.app/profile/safety.bsky.app/post/3ljp6zi7tp227
    • แถมยังเอาลิงก์ในอีเมลไปครอบด้วย โดเมนติดตามการคลิก ซึ่งบางครั้งเป็นโดเมนของ Mailgun หรือบริการอื่นที่ไม่เกี่ยวกับบริษัทเลย
      เพราะงั้นถึงจะตรวจดูลิงก์ที่กำลังจะกดเอง ก็ยังดูเหมือนว่าจะพาไปโดเมนน่าสงสัยทั้งที่เป็นอีเมลจริง
    • ผมลองเช็กอะไรที่นึกขึ้นมาอย่างแรกดู ก็พบว่า internalmicrosoft.com กับ microsoftinternal.com ยังจดทะเบียนได้อยู่ ถ้ามีช่องให้นำไปใช้ในทางที่ผิดมากขนาดนี้ ก็น่าจะอยากคุมชุดโดเมนทางการให้เข้มกว่านี้มาก

  • พูดถึงเรื่องที่เกี่ยวกันครึ่งหนึ่ง ความปลอดภัยของ Microsoft ห่วยจริง ๆ
    ตลอดสัปดาห์ที่แล้ว Microsoft Authenticator ส่งแจ้งเตือนว่ามีความพยายามล็อกอินจากสารพัดที่ แต่หน้าแสดงประวัติการล็อกอินกลับว่างเปล่า ไม่เห็นแม้แต่การล็อกอินของผมเอง
    จะคิดว่ารหัสผ่านรั่วก็ไม่ใช่ เพราะฟลोการล็อกอินเริ่มต้นถ้าเปิดแอปไว้คืออีเมล + Authenticator โดยไม่ต้องใช้รหัสผ่าน ที่น่าหงุดหงิดยิ่งกว่าคือเปลี่ยนตัวเลือกนี้จากในแอปไม่ได้
    Microsoft ควรตระหนักว่าบัญชีนั้นยังมีอยู่เพียงเพราะพวกเขาเข้าซื้อ Minecraft แล้วก็เลิกทำให้ชีวิตผมยุ่งยากได้แล้ว

    • Microsoft ยังมีฟีเจอร์สุดเจ๋งที่ถ้ามีคนพยายามล็อกอินเข้าบัญชีผิดหลายครั้ง บัญชีก็จะถูกล็อก และบังคับให้ รีเซ็ตรหัสผ่าน ทั้งที่รหัสที่ถูกต้องก็ยังถูกต้องอยู่
      หลังจากเปลี่ยนรหัสแล้ว ผมก็ยังล็อกอินอีเมลบนมือถือไม่ได้อยู่ดี เลยยอมแพ้ไป เพราะยังไงก็ใช้อีเมลนั้นแค่ไม่กี่อย่าง
    • ผมคิดว่าเรื่องนี้จะเกิดก็ต่อเมื่อมี session cookie เก่าอยู่ในเบราว์เซอร์ หรือ IP ยังไม่เปลี่ยนไม่ใช่หรือ
      แก้ไข: ลองเองด้วย IP ใหม่และหน้าต่าง Firefox แบบ private แล้ว ปรากฏว่าใช่ สามารถกรอกอีเมลแล้วเลือกการแจ้งเตือนผ่านแอปได้
    • ผมก็เจอเหมือนกัน Authenticator ขอให้ยืนยันโดยบอกว่า “มีการล็อกอิน” แต่พอเข้าไปดูหน้า security กลับไม่มีประวัติอะไรเลย
      ตอนแรกตกใจมากเลยไล่ดูทุกการตั้งค่าความปลอดภัยที่หาได้ แต่เหมือนไม่มีอะไรเกิดขึ้นเลย
      ตั้งแต่ครั้งที่สองเป็นต้นมาก็แค่เมินมัน แต่ก็ยังไม่สบายใจ เพราะในฟลอว์ Authenticator แบบปกติก็มีโอกาสเผลอกดตัวเลขที่ถูกต้องโดยไม่ตั้งใจได้
    • เมื่อหลายเดือนก่อนผมก็เริ่มเจออาการเดียวกัน และพอเปลี่ยนที่อยู่อีเมล การแจ้งเตือนก็หยุดไป
      ทั้งที่จริง ๆ แค่เปลี่ยน alias ให้ชี้ไปยังกล่องจดหมายเดิมเท่านั้น
    • บริษัทเดียวกันนี้กำลังเลิกใช้ SMS 2FA แล้วพยายามบังคับให้คนใช้แอป Authenticator อันห่วยของตัวเอง

  • โดเมนบริษัทเราขึ้นต้นด้วย m ช่วงหลังมีหลายคนโดนอีเมลฟิชชิงจากโดเมนที่ขึ้นต้นด้วย rn เพราะใน ฟอนต์ของ Outlook สองอย่างนี้แทบดูไม่ต่างกันเลย

  • เมื่อก่อนผมเคยจองโรงแรมผ่าน Booking แล้วได้รับ ความพยายามฟิชชิง ที่ดูเหมือนส่งมาจากโรงแรมผ่านอีเมลโดเมนของ Booking และ DM บนเว็บ Booking
    ตอนนั้นจากที่ตรวจดู มันดูไม่ใช่ปัญหาว่าบัญชีโรงแรมโดนยึด แต่เหมือนมี endpoint สำหรับข้อความ/อีเมลฝั่ง Booking บางตัวที่ถูกนำไปใช้ในทางเดียวกันได้
    ไม่แน่ใจว่าเป็นแบบเดียวกันไหม แต่น่าสนใจ โดยเฉพาะตรงที่มีการรายงานให้ Microsoft ทราบแล้วแต่ก็ยังไม่มีการดำเนินการใด ๆ

    • เคส PayPal ที่ผมเห็นทั้งหมดคือ อีเมลโรงแรมหรือบัญชี Booking ถูกเจาะ
      ในฐานะแขกที่เข้าพัก ผมเคย “ช่วย” เอามัลแวร์หรือเครื่องมือ remote access ออกจากระบบของโรงแรมมาแล้วเกินสิบครั้ง

  • ผมคิดว่าทางออกที่ชัดเจนคือบริษัทต่าง ๆ ควรเลิกสร้างโดเมนแตกต่างกันเป็นล้านโดเมน แล้วใช้ ซับโดเมน อย่าง internal.microsoft.com แทน แต่มันก็น่าเศร้าที่แม้แต่ที่นี่ก็ยังไม่มีใครพูดถึงเรื่องนี้เลย ราวกับห่างไกลจากความเป็นจริงมาก

    • ทั้งที่พวกเขายังมี .microsoft อยู่แล้วด้วยซ้ำ ไม่เข้าใจว่าจะทำแบบนี้ไปทำไม
    • เห็นด้วย
      ครั้งหนึ่งหน่วยงานรัฐในเยอรมนีเคยส่งจดหมายมาขอ data export จากบริษัทเรา และให้ไปอัปโหลดที่ findrive-ni.de
      มันเป็นของจริง แต่ไม่ใช่ซับโดเมนของโดเมนรัฐ Niedersachsen และก็ไม่มีการอ้างถึงจากเว็บไซต์ทางการไหนเลย

  • ทุกวันผมได้รับอีเมลสแปมจากเซิร์ฟเวอร์ของ Google ราว 20-30 ฉบับ ตอนนี้เลยแยกมันไปไว้ใน โฟลเดอร์ SPAM ต่างหากเพื่อความขำ
    ผมหาไม่เจอเลยว่าควรติดต่อใคร ต้องทำยังไงให้ Google หยุดมัน หรือจะรายงานการใช้บริการในทางที่ผิดได้ที่ไหน ทั้งบริการเหมือนถูกออกแบบมาเป็น “ไสหัวไป ฉันไม่อยากให้ติดต่อ” ขนาดยักษ์
    ผมชักคิดว่าคงต้องเขียนโพสต์เปิดเผยสักชิ้นให้ขึ้นบน HN บ้าง เผื่อจะมีแรงจูงใจให้คนของ Google สักคนเข้ามาดู

    • ผมก็เคยลงไปในโพรงกระต่ายนั้นครั้งหนึ่ง ลองทุกช่องทางรายงานการใช้งานในทางที่ผิดเท่าที่หาได้
      network-abuse@ ส่งต่อไปยังฟอร์มรายงานการใช้งาน Google Cloud ในทางที่ผิด แล้วที่นั่นก็บอกว่า “IP ที่อ้างถึงในรายงานไม่ได้โฮสต์อยู่บน Google Cloud จึงไม่สามารถดำเนินการได้”
      ส่วนการรายงานการใช้งาน Gmail ในทางที่ผิดนั้นไม่มีแม้แต่คำตอบกลับ สุดท้ายผมเลยบล็อกตัวระบุ DKIM ที่เกี่ยวกับ Firebase ใน Rspamd
    • ลองที่นี่ได้: https://support.google.com/mail/contact/abuse?hl=en
      สัปดาห์ที่แล้วผมส่งบัญชีที่ใช้ส่งอีเมลฟิชชิงไป แต่มีคนบอกว่าโดยพื้นฐานแล้วมันเป็นหลุมดำ อย่าคาดหวังว่าจะมีอะไรเกิดขึ้น

  • Meta ก็เคยมีหรืออาจยังมีบั๊กคล้ายกันในฟีเจอร์หนึ่งของ Business Manager ผู้โจมตีสามารถควบคุม ข้อความเนื้อหาเริ่มต้น ได้ทั้งหมด ทำให้ดูน่าเชื่อมาก
    ผมพยายามรายงานเรื่องนี้แล้ว แต่เสียเวลาเปล่า ขั้นตอนส่งรายงานด้านความปลอดภัยดูเหมือนจะกรองแม้แต่ปัญหาจริงที่โผล่มาเป็นครั้งคราว เพราะสแปม bug bounty มีเยอะเกินไป

    • ผมได้รับอีเมลพวกนี้มานานมาก จนเริ่มคิดว่าไม่ใช่ปัญหาที่แพร่หลาย แต่เป็นผมคนเดียวที่ถูกเล็งเป้าหรือเปล่า เพราะดูเหมือน Meta จะไม่ทำอะไรเลย
      อีเมลมาจาก noreply@business.facebook.com จริง ๆ และมีข้อความแบบข้างล่างนี้ งานนี้เหมือนให้ไปถอดรหัสเองว่าส่วนไหนเป็น template ของ Meta และส่วนไหนเป็นข้อความที่ผู้ใช้กรอกเข้ามาแล้วถูกนำไปใช้ในทางที่ผิดอย่างสร้างสรรค์
      Your Meta's Page may be at risk due to unusual activity...
      Your Page is under restriction review Contact Meta Support: metafanpageviolate@gmail.com ...

  • ที่ PayPal ก็เกิดอะไรคล้ายกันหรือเปล่า ผมได้รับอีเมลที่ดูเหมือนมาจาก โดเมนของ PayPal แต่เห็นชัดว่าเป็นการหลอกลวง

    • เคส PayPal ที่ผมเห็นส่วนใหญ่คือการส่งคำขอโอนเงินจำนวนมาก แล้วใช้ช่องกรอกเหตุผลแบบอิสระใส่ข้อความปลอมว่า “ถ้าคิดว่านี่เป็นการหลอกลวง ให้โทร [ซึ่งจริง ๆ คือเบอร์มิจฉาชีพ]”

  • ช่วงหลังผมได้รับสแปมจำนวนมากจาก Google MX server แต่พอบล็อกอีเมลทั้งหมดที่มี header X-Google-Group-Id มันก็หยุดไป
    ไม่รู้ว่าทำได้ยังไง แต่เนื้อหาถูกควบคุมโดยสแปมเมอร์ 100% และไม่มี template ของ Google อยู่เลย

  • เมื่อก่อนผมเคยได้รับ อีเมลหลอกลวง Coinbase ที่มาจาก @akamai.com
    ดูเหมือนว่า SPF ของบริษัทหนึ่งที่ Akamai เข้าซื้อไปจะตั้งค่าผิด