Als u ooit een e-mail heeft ontvangen van “(e-mail beveiligd)“, weet u dat dit een officieel e-mailadres is dat door Microsoft wordt gebruikt.
Gebruikers moeten zich er echter van bewust zijn dat e-mails van dit officiële Microsoft-adres oplichtingsberichten kunnen zijn.
Oplichters hebben ontdekt hoe ze dit legitieme Microsoft-e-mailadres kunnen bewapenen om frauduleuze e-mails naar doelwitten te sturen. En het lijkt erop dat slechte acteurs deze methode ook steeds vaker gaan gebruiken.
Onlangs hebben meerdere mensen op sociale media dat gedaan gedeeld dat zij ontvangen een oplichtingsmail van een echt Microsoft-e-mailadres gebeld (e-mail beveiligd). De e-mails zien eruit als de meeste e-mails van Microsoft, waarbij gebruik wordt gemaakt van de sjabloon die het bedrijf vaak gebruikt. De onderwerpregel van deze e-mails gaat echter vaak over Bitcoin of het promoten van een website van derden. De onderwerpregel bevat meestal ook een telefoonnummer of een websitelink die niet aan Microsoft is gekoppeld.
De reden dat deze e-mails op echte e-mails van Microsoft lijken, is omdat ze dat technisch gezien ook zijn.
Normaal gesproken wordt deze Microsoft-e-mail door het bedrijf gebruikt om e-mailmeldingen te verzenden, zoals tweefactorauthenticatiecodes of accountmeldingen. Oplichters hebben echter ontdekt dat ze hun frauduleuze plannen in deze legitieme e-mail kunnen injecteren, waarbij ze elke vorm van oplichtings- of spamdetectiefilters in de e-mailinbox van gebruikers omzeilen.
Mashbare lichtsnelheid
Als TechCrunch schrijft in zijn rapport, Microsoft lijkt de kwestie nog niet te hebben aangepakt of een verklaring hierover te hebben vrijgegeven.
Het lijkt er echter op dat dit probleem al een tijdje speelt.
Een januari rapport van cyberbeveiligingsbedrijf Abnormal legde uit hoe slechte actoren het e-mailsysteem van Microsoft misbruikten en het verleidden tot het verzenden van phishing-e-mails.
“De aanval begint met de slechterik die een wegwerpbare Microsoft 365-tenant opzet”, luidt het rapport van Abnormal. “De kern van de exploit ligt in de Tenant Branding-configuratie binnen Microsoft Entra ID. De aanvaller navigeert naar Tenant Properties en past het veld ‘Naam’ aan om een frauduleus financieel waarschuwingsbericht te bevatten.”
Nadat de naam is aangepast met het bericht van de oplichter, misleidt de slechterik Microsoft vervolgens om een e-mail met een verificatiecode naar het e-mailadres van het doelwit te sturen. De oplichter doet dit door Microsoft te vragen het e-mailadres van het doelwit toe te voegen aan het Microsoft-account van de aanvaller. Wanneer de e-mail naar het doel wordt verzonden, neemt Microsoft hun naam op in de onderwerpregel. Maar nogmaals, in dit geval heeft de oplichter zijn bericht aan het slachtoffer als naam ingevoerd.
Omdat deze aanval gebruik maakt van het vertrouwde e-mailadres van Microsoft en geen kwaadaardige hyperlinks of bijlagen bevat, omzeilen deze oplichtings-e-mails gemakkelijk elke vorm van beveiligingsmaatregelen.
Naarmate cybercriminelen slimmer en vindingrijker worden, moeten internetgebruikers waakzaam blijven en de e-mails die ze ontvangen nauwlettend in de gaten houden, zelfs als de afzender lijkt af te rekenen.
