Betrüger missbrauchen internes Microsoft-Konto zum Versand von Spam-Links

 (techcrunch.com)
1 Punkte von GN⁺ 3 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Seit mehreren Monaten nutzen Betrüger eine interne Microsoft-E-Mail-Adresse aus, um Spam-Mails zu versenden, die wie offizielle Konto-Benachrichtigungen wirken
  • Die betroffene Absenderadresse ist msonlineservicesteam@microsoftonline.com, ein offizieller Kanal, der normalerweise für wichtige Konto-Hinweise wie Zwei-Faktor-Authentifizierungscodes verwendet wird
  • Die Betrüger missbrauchen offenbar eine Schwachstelle im System, indem sie neue Microsoft-Konten anlegen; der genaue Umgehungsweg ist jedoch noch unklar
  • Die Anti-Spam-Non-Profit-Organisation The Spamhaus Project hat denselben Missbrauch bereits vor mehreren Monaten beobachtet und Microsoft informiert
  • Microsoft untersucht Phishing-Meldungen und ergreift Maßnahmen; zudem werden Erkennungs- und Blockierungsmechanismen verstärkt und Konten entfernt, die gegen die Nutzungsbedingungen verstoßen

Überblick über den Vorfall

  • Über mehrere Monate hinweg nutzten Betrüger eine Schwachstelle aus, um über eine interne E-Mail-Adresse von Microsoft für offizielle Konto-Benachrichtigungen Spam-Mails zu versenden
  • Die Betrüger erstellen neue Microsoft-Konten, geben sich als Neukunden aus und können über diesen Zugriff E-Mails im Namen von Microsoft verschicken
  • Für Empfänger besteht das Risiko, die E-Mails für echte Benachrichtigungen zu halten
  • Microsoft hat das Problem bislang noch nicht vollständig unter Kontrolle

Merkmale der versendeten Spam-Mails

  • Ein TechCrunch-Reporter erhielt in der vergangenen Woche auf mehrere E-Mail-Konten zahlreiche Spam-Mails mit ähnlichem Aufbau
    • Alle wurden von msonlineservicesteam@microsoftonline.com versendet
    • Diese Adresse ist das offizielle Konto, das Microsoft für Zwei-Faktor-Authentifizierungscodes und wichtige Hinweise zu Online-Konten nutzt
  • Betreffzeilen und Aufbau der E-Mails
    • Einige Mails ahmten die Betreffform offizieller Nachrichten nach und wirkten wie Warnungen zu betrügerischen Transaktionen
    • Andere behaupteten, dass unter der im Text genannten Webadresse „eine private Nachricht auf Sie wartet“
    • Die Mails waren insgesamt plump gemacht

Beobachtungen des Spamhaus Project

  • Die Anti-Spam-Non-Profit-Organisation The Spamhaus Project erklärte am Dienstag in einem Social-Media-Post, dass sie denselben Missbrauch bestätigt habe
    • Sie habe beobachtet, dass Microsofts E-Mail-Adresse für Konto-Benachrichtigungen bereits seit „mehreren Monaten“ für Spam missbraucht werde
  • Spamhaus: „Automatisierte Benachrichtigungssysteme sollten keine Anpassung auf diesem Niveau zulassen“
  • Die Organisation hat Microsoft bereits über das Problem informiert

Reaktion von Microsoft

  • Als TechCrunch Microsoft Anfang der Woche kontaktierte, bestätigte das Unternehmen zunächst nur den Eingang der Anfrage und antwortete bis zum Redaktionsschluss nicht
  • Nach Veröffentlichung des Artikels übermittelte Emelia Katon über eine externe PR-Agentur Microsofts offizielle Stellungnahme
    • „Wir untersuchen Phishing-Meldungen aktiv und ergreifen Maßnahmen“, um Kunden zu schützen
    • Erkennungs- und Blockierungsmechanismen werden verstärkt
    • Parallel dazu werden Konten entfernt, die gegen die Nutzungsbedingungen verstoßen

Ähnliche Missbrauchsfälle

  • In den vergangenen Monaten kam es wiederholt zu Vorfällen, bei denen Hacker und Betrüger Unternehmenssysteme missbrauchten, um Kunden zu täuschen
  • Ein Fall von Anfang dieses Jahres
    • Hacker drangen in eine Plattform ein, die vom Fintech-Unternehmen Betterment genutzt wird
    • Sie verschickten gefälschte Benachrichtigungen, wonach sich der Wert der von Nutzern überwiesenen Kryptowährung verdreifacht habe (ein typischer Krypto-Diebstahl-Scam)
  • Ein Fall aus dem Jahr 2023
  • Laut Social-Media-Nutzern werden auch E-Mail-Adressen anderer Unternehmen für Spam missbraucht; das Problem ist also nicht auf Microsoft beschränkt

Verwandte Beiträge

1 Kommentare

 
GN⁺ 3 시간 전
Hacker-News-Kommentare

  • Ich frage mich, wer mit Sicherheit sagen kann, dass microsoftonline.com echt ist. Microsofts Domain-Management ist so chaotisch, dass es mich nicht wundern würde, wenn sie intern nicht einmal eine vollständige Liste aller eigenen Domain-Assets hätten.
    Es ist schon ironisch, dass Unternehmen darauf bestehen, man solle zur Unterscheidung von Spam die Domain prüfen, es aber selbst nicht schaffen, offiziell eine Liste aller Domains zu veröffentlichen, von denen sie E-Mails versenden.

    • Vermutlich geht es um so etwas wie Microsofts Wechsel von leicht lesbaren und gut merkbaren Domains wie office.com zu einer merkwürdigen Poser-Domain wie m365.cloud.microsoft.
    • Etwas anderes, aber halbwegs verwandt: In Indien bekam ich zu jeder Versicherungsverlängerung mindestens 12 Bank-Betrugsanrufe pro Tag. Ich wünschte mir, die Banken würden ihre offiziellen Telefonnummern veröffentlichen und ihre Mitarbeiter verpflichten, nur diese zu verwenden, und tatsächlich hat die Regulierungsbehörde das inzwischen so geregelt, dass Banken für Kundenkontakte nur noch 1600-Nummern verwenden dürfen.
      Danach sank die Zahl der betrügerischen Bankanrufe auf null.
    • Bei Bluesky ist es noch schlimmer: Manche E-Mails kommen von moderation@blueskyweb.xyz.
      Vor allem, weil man aufgefordert wurde, Dinge wie Ausweisdokumente an diese Adresse zu schicken, mussten sie sogar einen Beitrag veröffentlichen, um zu versichern, dass es kein Betrug ist: https://bsky.app/profile/safety.bsky.app/post/3ljp6zi7tp227
    • Dazu kommt, dass Links in E-Mails mit Click-Tracking-Domains umhüllt werden, und diese Domain kann dann etwas wie Mailgun sein, also etwas, das mit dem Unternehmen überhaupt nichts zu tun hat.
      Selbst wenn man also den Link, den man anklicken will, direkt prüft, sieht es so aus, als führe eine legitime Mail auf eine betrügerische Domain.
    • Ich habe einfach mal die ersten naheliegenden Varianten nachgeschaut, und internalmicrosoft.com sowie microsoftinternal.com waren noch registrierbar. Wenn das Missbrauchspotenzial so groß ist, sollte man meinen, sie würden ihre offiziellen Domain-Bündel viel strenger pflegen.

  • Halbwegs verwandtes Thema: Microsoft-Sicherheit ist wirklich miserabel.
    Die ganze letzte Woche über hat Microsoft Authenticator mich benachrichtigt, dass es hier und da Login-Versuche gebe, aber die Seite mit dem Login-Verlauf war komplett leer. Nicht einmal meine eigenen Logins wurden angezeigt.
    Man könnte denken, mein Passwort sei geleakt, aber nein. Der Standard-Login-Flow mit geöffneter App ist E-Mail + Authenticator, ganz ohne Passwort. Noch absurder ist, dass man diese Option in der App nicht ändern kann.
    Microsoft sollte akzeptieren, dass der einzige Grund, warum dieses Konto überhaupt noch existiert, die Übernahme von Minecraft ist, und mir das Leben nicht unnötig kompliziert machen.

    • Microsoft hat auch die tolle Funktion, dass ein Konto gesperrt wird, wenn jemand den Login zu oft falsch eingibt, und dann selbst beim korrekten Passwort ein Passwort-Reset verlangt wird.
      Nachdem ich das Passwort geändert hatte, konnte ich mich auf dem Handy trotzdem nicht mehr bei der E-Mail anmelden und habe einfach aufgegeben. Ich nutze diese E-Mail ohnehin nur für ein paar Dinge.
    • Ich dachte, das gälte nur, wenn noch ein Session-Cookie im Browser vorhanden ist oder sich die IP nicht geändert hat.
      Edit: Ich habe es direkt mit neuer IP und einem Firefox-Privatfenster ausprobiert, und ja, es stimmt. Man gibt die E-Mail ein und kann dann die App-Benachrichtigung auswählen.
    • Ich habe dasselbe erlebt. Authenticator verlangte eine Bestätigung mit „eingeloggt“, aber wenn ich auf der Sicherheitsseite nachsah, gab es überhaupt keinen Eintrag.
      Beim ersten Mal bekam ich Angst und durchforstete jede Sicherheitseinstellung, die ich finden konnte, aber es sah aus, als wäre gar nichts passiert.
      Ab dem zweiten Mal habe ich es einfach ignoriert, aber unangenehm bleibt es. Im Standard-Authenticator-Flow könnte man auch versehentlich die richtige Zahl antippen.
    • Bei mir passiert dasselbe seit einigen Monaten, und nachdem ich die E-Mail-Adresse geändert hatte, hörten die Benachrichtigungen auf.
      Tatsächlich habe ich nur den Alias geändert, der weiterhin auf dasselbe Postfach zeigt.
    • Dasselbe Unternehmen stellt SMS-Zwei-Faktor-Authentifizierung ein und will die Leute dazu bringen, ihre miserable Authenticator-App zu verwenden.

  • Unsere Unternehmensdomain beginnt mit m. Kürzlich sind mehrere Leute auf Phishing-Mails einer Domain hereingefallen, die mit rn anfängt, weil die beiden in der Outlook-Schriftart fast identisch aussehen.

  • Ich habe einmal über Booking ein Hotel reserviert und danach einen Phishing-Versuch erhalten, der so aussah, als käme er vom Hotel, über E-Mails und DMs mit Booking-Site-Domains.
    Damals sah es für mich eher nicht nach einem kompromittierten Hotelkonto aus, sondern danach, dass irgendein Nachrichten-/E-Mail-Endpunkt bei Booking auf ähnliche Weise missbraucht wurde.
    Ob es derselbe Typ Fall ist, weiß ich nicht, aber es ist interessant, vor allem weil es offenbar bereits an Microsoft gemeldet wurde und trotzdem nichts passiert ist.

    • Die PayPal-Fälle, die ich gesehen habe, waren fast immer kompromittierte Hotel-E-Mails oder Booking-Konten.
      Als Hotelgast habe ich schon mehr als zehnmal dabei „geholfen“, Malware oder Remote-Access-Tools aus Hotelsystemen zu entfernen.

  • Ich halte es für die offensichtliche Lösung, dass Unternehmen nicht eine Million verschiedene Domains erstellen, sondern Subdomains wie internal.microsoft.com verwenden. Es ist deprimierend, wie weit das hier von der Realität entfernt wirkt, wenn nicht einmal jemand das anspricht.

    • Sie besitzen sogar .microsoft, daher verstehe ich nicht, warum sie das nicht einfach tun.
    • Stimmt schon.
      Eine deutsche Behörde hat unserem Unternehmen einmal einen Brief geschickt und um einen Datenexport gebeten, der auf findrive-ni.de hochgeladen werden sollte.
      Das war tatsächlich legitim, aber es war keine Subdomain der niedersächsischen Landesdomain und wurde auch nirgends auf offiziellen Seiten referenziert.

  • Ich bekomme jeden Tag etwa 20 bis 30 Spam-Mails von Google-Servern. Aus Spaß sortiere ich sie in einen separaten SPAM-Ordner.
    Ich kann nicht herausfinden, wen man kontaktieren muss, wie Google das stoppen soll oder wo man Missbrauch des Dienstes melden kann. Der ganze Service wirkt praktisch wie ein riesiges „Verpiss dich, ich will nicht kontaktiert werden“.
    Vielleicht sollte ich selbst einen Beitrag veröffentlichen und hier auf HN landen. Das wäre womöglich genug Anreiz dafür, dass sich bei Google irgendjemand das anschaut.

    • Ich bin diesen Kaninchenbau auch schon einmal hinuntergestiegen. Ich habe jeden Missbrauchsmeldekanal ausprobiert, den ich finden konnte.
      network-abuse@ verweist einen auf das Missbrauchsmeldeformular für Google Cloud, und dort heißt es dann, man könne nichts tun, weil die in dem Bericht genannten IPs nicht bei Google Cloud gehostet seien.
      Auf Gmail-Missbrauchsmeldungen kommt nicht einmal eine Antwort. Am Ende habe ich in Rspamd einfach die Firebase-DKIM-Identifier blockiert.
    • Du kannst es hier versuchen: https://support.google.com/mail/contact/abuse?hl=en
      Letzte Woche habe ich dort ein Konto gemeldet, das Phishing-Mails versendet hat, aber man sagte mir im Grunde, es sei ein schwarzes Loch und ich solle nicht erwarten, dass etwas passiert.

  • Bei Meta gab oder gibt es in einer der Business-Manager-Funktionen ebenfalls einen ähnlichen Bug. Ein Angreifer kann den anfänglichen Nachrichtentext vollständig kontrollieren, wodurch das Ganze sehr überzeugend aussieht.
    Ich habe versucht, das zu melden, aber es war völlig zwecklos. Offenbar ist der Bug-Bounty-Spam so groß, dass der Prozess für Sicherheitseinreichungen gelegentlich auch echte Probleme aussiebt.

    • Ich bekomme solche Mails schon so lange, dass ich anfing zu denken, ich sei persönlich Ziel und es sei kein weit verbreitetes Problem, weil Meta offenbar überhaupt nichts unternimmt.
      Die Mails kommen tatsächlich von noreply@business.facebook.com und enthalten Text wie den folgenden. Man soll praktisch selbst entschlüsseln, welcher Teil das Meta-Template ist und welcher Teil kreativ missbrauchter Benutzereingabetext.
      Your Meta's Page may be at risk due to unusual activity...
      Your Page is under restriction review Contact Meta Support: metafanpageviolate@gmail.com ...

  • Passiert bei PayPal etwas Ähnliches? Ich bekomme E-Mails, die so aussehen, als kämen sie von einer PayPal-Domain, aber sie sind eindeutig Betrug.

    • Die PayPal-Fälle, die ich gesehen habe, liefen meist so ab, dass jemand eine Zahlungsanforderung über einen hohen Betrag schickt und dann im frei ausfüllbaren Feld für den Verwendungszweck einen falschen Hinweis einträgt wie: „Wenn Sie denken, dass das Betrug ist, rufen Sie [in Wirklichkeit eine Betrugsnummer] an.“

  • Nachdem ich in letzter Zeit massenhaft Spam über Google-MX-Server bekommen hatte, hörte es auf, als ich alle Mails mit dem Header X-Google-Group-Id blockierte.
    Wie das möglich ist, weiß ich nicht, aber der Inhalt war zu 100 % unter Kontrolle des Spammers und es gab kein Google-Template.

  • Früher habe ich einmal eine Coinbase-Betrugsmail erhalten, die von @akamai.com zu kommen schien.
    Offenbar war bei einem der von Akamai übernommenen Unternehmen etwas an der SPF-Konfiguration kaputt.