Microsoft 365 管理门户被滥用来发送性勒索电子邮件,使邮件看起来可信并绕过电子邮件安全平台。
性勒索电子邮件是一种诈骗,声称您的计算机或移动设备被黑客入侵,窃取您进行性行为的图像或视频。然后,诈骗者会要求您支付 500 至 5,000 美元,以防止他们与您的家人和朋友分享受损的照片。
虽然您可能认为没有人会落入这些骗局,但它们在 2018 年首次出现时利润非常丰厚,每周收入超过 50,000 美元。直到今天,BleepingComputer 仍然不断收到有关人士的留言。
从那时起,诈骗者创造了多种勒索电子邮件诈骗变体,包括假装发现您的配偶作弊或附上您家的照片来吓唬您用比特币向勒索者付款。
然而,电子邮件安全平台已经变得擅长检测这些诈骗电子邮件,并通常将它们隔离在垃圾邮件文件夹中。
滥用 Microsoft 365 管理门户进行诈骗
过去一周, LinkedIn 、 X和Microsoft Answers 论坛上的用户报告称,他们通过 Microsoft 365 消息中心收到了性勒索电子邮件,这些诈骗邮件可以绕过垃圾邮件过滤器并进入收件箱。
“我昨天收到一封勒索诈骗电子邮件。这些邮件通常最终会进入垃圾邮件/垃圾邮件,但是这封邮件通过了过滤器,因为它是由 Microsoft 365 消息中心发送的。
“对于他们如何做到这一点有什么想法吗?”网络安全专业人士埃德温·关(Edwin Kwan)问道。
这些性勒索电子邮件来自“o365mc@microsoft.com”,这可能感觉像是一个网络钓鱼地址,但实际上是Microsoft 的合法电子邮件地址,用于从 Microsoft 365 消息中心发送消息和通知。
对于那些不熟悉 Microsoft 365 管理门户的人来说,它包括一个名为“消息中心”的部分,其中包含 Microsoft 有关服务建议、新功能和即将发生的更改的通信。
查看建议时,“共享”链接允许您与其他人共享该建议,如下所示。
单击“共享”按钮将打开一个对话框,要求您输入最多两个应将建议发送到的电子邮件地址,无论它们是组织的外部还是内部。
该屏幕还包括可选的“个人消息”,该消息将添加到通过电子邮件发送的咨询中。
威胁行为者滥用个人消息功能来发送性勒索消息。然而,此个人消息字段仅限于 1,000 个字符,任何其他字符都会被用户界面截断。
由于诈骗者发送的勒索信息远远超过1000个字符,这让我想知道他们是如何绕过这个限制的。
答案很简单。他们只需打开浏览器的开发工具并将 <textarea> 标记的最大长度字段更改为他们选择的任意数字。
此更改现在允许他们将整个性勒索消息输入“个人消息”字段,而不会被截断。
由于 Microsoft 不会对字符长度执行服务器端检查,因此整个勒索消息现在与通报一起发送。
诈骗者可能使用自动化流程来提交这些“共享”请求,从而使发送变得更加容易,而无需服务器端检查个人消息的长度。
BleepingComputer 就这些骗局联系了 Microsoft,并被告知他们正在调查恶意活动。
“感谢您让我们注意到这一点。我们非常重视安全和隐私,”微软告诉 BleepingComputer。
“我们正在调查这些报告,并将采取行动帮助保护我们的客户。”
BleepingComputer 的测试显示,目前微软尚未添加服务器端检查来防止消息超过 1,000 个字符。
虽然这种技术允许性勒索电子邮件绕过邮件过滤器,但任何收到这些电子邮件的人都必须明白它们只是骗局并将其删除。
值得庆幸的是,在过去六年中,性勒索诈骗变得如此猖獗,以至于大多数人意识到它们是骗局并删除了此类电子邮件。
然而,对于那些不熟悉的人来说,这些电子邮件可能会令人痛苦和恐惧。
因此,需要强调的是,这些电子邮件是骗局,他们没有说实话,您不应访问这些电子邮件中的任何链接或向列出的加密货币地址发送任何资金。