近月有騙徒被發現利用 Microsoft 一個本應只用作帳戶通知的官方電郵地址,大量發送疑似詐騙及垃圾電郵,令不少用戶誤以為這些訊息來自官方,增加上當風險。 被濫用的地址是「[email protected]」,平日主要負責發送雙重驗證登入碼、可疑登入提示等重要安全通知,因此一旦被騙徒騎劫,用戶極易放下戒心。
報道指,騙徒似乎可以假扮成新客戶建立 Microsoft 帳戶,之後透過系統漏洞,獲得以該官方通知地址對外發送電郵的能力,但具體技術細節仍未明朗。 有記者透露,自己在不同電郵帳戶上,於同一星期內多次收到結構相似的垃圾郵件,內容包括偽裝成交易異常提示,或聲稱有私人訊息需要點擊連結查看,實際上卻會導向可疑網站。 反垃圾郵件機構 Spamhaus Project 亦在社交平台指出,已觀察到這個 Microsoft 帳戶被用來發送垃圾郵件「已有數個月」,並批評這類自動通知系統竟然容許如此程度的自訂內容,安全設計明顯不足。
有傳媒向 Microsoft 查詢事件時,發言人只承認已收到提問,暫未正面回應問題成因、亦未交代是否已堵塞相關漏洞。 報道同時提到,近年類似事故屢見不鮮,例如金融科技公司 Betterment 曾被入侵其通知平台,被用來散播「轉入加密貨幣即可三倍返還」的老套騙局;域名註冊商 Namecheap 旗下電郵帳戶亦曾在 2023 年遭濫用發送釣魚郵件。
在今次事件未完全釐清前,用戶看到來自官方域名的通知電郵,也不能掉以輕心。 對於涉及帳戶安全或金錢交易的提示,最好自行登入官網或相關 App 查證,而不是直接點擊電郵內的連結;若遇上要求輸入密碼、信用卡或加密貨幣錢包資料的頁面,更應立即提高警覺,避免成為下一個受害者。
