Des escrocs exploitent un compte interne de Microsoft pour envoyer des liens de spam

 (techcrunch.com)
1 points par GN⁺ 3 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Depuis plusieurs mois, des escrocs exploitent une adresse e-mail interne de Microsoft pour envoyer des spams déguisés en notifications de compte légitimes
  • L’adresse d’envoi en cause est msonlineservicesteam@microsoftonline.com, un canal officiel normalement utilisé pour des alertes importantes liées au compte, comme les codes d’authentification à deux facteurs
  • Les escrocs exploitent une faille du système en créant de nouveaux comptes Microsoft, mais la méthode précise de contournement reste inconnue
  • L’organisation anti-spam à but non lucratif The Spamhaus Project observe le même type d’abus depuis plusieurs mois et en a informé Microsoft
  • Microsoft indique être en train d’enquêter sur les signalements de phishing et de prendre des mesures, tout en renforçant ses mécanismes de détection et de blocage et en supprimant les comptes qui enfreignent ses conditions d’utilisation

Aperçu de l’incident

  • Depuis plusieurs mois, des escrocs exploitent une faille permettant d’envoyer des e-mails indésirables via une adresse e-mail interne officielle de Microsoft dédiée aux notifications de compte
  • En créant de nouveaux comptes Microsoft comme s’ils étaient de nouveaux clients, ils obtiennent un niveau d’accès leur permettant d’envoyer des e-mails au nom de Microsoft
  • Les destinataires risquent de prendre ces messages pour des notifications authentiques
  • À ce stade, Microsoft n’a pas encore totalement repris le contrôle de la situation

Caractéristiques des spams envoyés

  • La semaine dernière, un journaliste de TechCrunch a reçu sur plusieurs comptes e-mail de nombreux spams présentant une structure similaire
    • Tous provenaient de l’adresse msonlineservicesteam@microsoftonline.com
    • Cette adresse est le compte officiel que Microsoft utilise pour envoyer des codes d’authentification à deux facteurs et d’autres alertes importantes liées aux comptes en ligne
  • Objet et contenu des messages
    • Certains reprenaient le format d’objet des e-mails officiels, en se présentant comme des alertes de transaction frauduleuse
    • D’autres affirmaient qu’un « message privé est en attente » à l’adresse web indiquée dans le corps du message
    • Les e-mails étaient de fabrication grossière

Observations du Spamhaus Project

  • L’organisation anti-spam à but non lucratif The Spamhaus Project a annoncé mardi dans une publication sur les réseaux sociaux avoir confirmé le même type d’abus
    • Elle observe depuis « plusieurs mois » l’utilisation abusive de l’adresse de notification de compte de Microsoft pour l’envoi de spam
  • Spamhaus : « Un système de notification automatisé ne devrait pas permettre un tel niveau de personnalisation »
  • L’organisation avait déjà signalé le problème à Microsoft

Réponse de Microsoft

  • Lorsque TechCrunch a contacté Microsoft en début de semaine, l’entreprise a seulement confirmé la réception de la demande et n’a pas répondu avant l’échéance
  • Après la publication de l’article, Emelia Katon a transmis la position officielle de Microsoft via une agence de relations publiques externe
    • « Nous enquêtons activement sur les signalements de phishing et prenons des mesures », tout en cherchant à protéger les clients
    • Renforcement des mécanismes de détection et de blocage en cours
    • Suppression des comptes en infraction avec les conditions d’utilisation en parallèle

Cas d’abus similaires

  • Ces derniers mois, plusieurs incidents ont montré des hackers et des escrocs détourner les systèmes d’entreprises pour tromper les clients
  • Cas survenu plus tôt cette année
  • Cas de 2023
  • Selon des utilisateurs sur les réseaux sociaux, des adresses e-mail d’autres entreprises sont elles aussi exploitées pour envoyer du spam, ce qui montre que le problème ne se limite pas à Microsoft

À lire aussi

1 commentaires

 
GN⁺ 3 시간 전
Réactions sur Hacker News

  • Je me demande bien qui peut être certain que microsoftonline.com est authentique. La gestion des domaines chez Microsoft est tellement chaotique que ça ne me surprendrait même pas qu’en interne ils n’aient pas eux-mêmes une liste complète de tous les domaines qu’ils possèdent
    C’est ironique que les entreprises insistent pour qu’on vérifie le domaine afin de distinguer le spam, tout en étant incapables de publier la liste complète de tous les domaines depuis lesquels elles envoient officiellement des e-mails

    • J’imagine que ça parle du fait que Microsoft est passé de domaines faciles à lire et à retenir comme office.com à un domaine bizarre et tape-à-l’œil comme m365.cloud.microsoft
    • C’est un peu différent, mais en Inde, à chaque période de renouvellement d’assurance, je recevais au moins 12 appels frauduleux bancaires par jour. Je me disais que les banques devraient publier leurs numéros officiels et obliger leurs employés à n’utiliser que ceux-là, et récemment le régulateur l’a effectivement imposé : les banques ne peuvent utiliser que des numéros en 1600 pour contacter les clients
      Depuis, le nombre d’appels frauduleux bancaires est tombé à 0
    • Bluesky fait encore pire, certains e-mails viennent de moderation@blueskyweb.xyz
      Comme ils demandent notamment d’envoyer des pièces d’identité à cette adresse, ils ont même dû publier un message pour rassurer les gens sur le fait que ce n’était pas une arnaque : https://bsky.app/profile/safety.bsky.app/post/3ljp6zi7tp227
    • En plus, ils enveloppent les liens des e-mails avec un domaine de suivi des clics, et il arrive que ce domaine soit quelque chose comme Mailgun, sans aucun rapport apparent avec l’entreprise
      Donc même si on vérifie directement le lien qu’on s’apprête à ouvrir, un e-mail légitime peut quand même donner l’impression d’envoyer vers un domaine frauduleux
    • J’ai vérifié la première chose qui m’est venue à l’esprit, et internalmicrosoft.com comme microsoftinternal.com étaient encore disponibles à l’enregistrement. Avec un tel potentiel d’abus, on pourrait penser qu’ils voudraient gérer leur portefeuille de domaines officiels de façon bien plus stricte

  • À moitié lié au sujet, la sécurité de Microsoft est vraiment lamentable
    Toute la semaine dernière, Microsoft Authenticator m’a envoyé des notifications disant qu’il y avait des tentatives de connexion un peu partout, mais la page d’historique des connexions était totalement vide. Même mes propres connexions n’y apparaissaient pas
    On pourrait croire à une fuite de mot de passe, mais non. Le flux de connexion par défaut avec l’application activée, c’est e-mail + Authenticator, sans mot de passe nécessaire. Encore plus absurde, cette option n’est pas modifiable depuis l’application
    Microsoft devrait comprendre que la seule raison pour laquelle ce compte existe encore est le rachat de Minecraft, et arrêter de me compliquer la vie

    • Microsoft a aussi cette merveilleuse fonctionnalité où, si quelqu’un échoue trop de fois à se connecter à votre compte, le compte est verrouillé et on vous demande une réinitialisation de mot de passe même si votre mot de passe est correct
      Après avoir changé le mot de passe, je ne pouvais toujours pas me connecter à mon e-mail sur mon téléphone, donc j’ai fini par abandonner. De toute façon, je n’utilise cet e-mail que pour quelques usages précis
    • Je me demandais si ce n’était pas seulement le cas lorsqu’un ancien cookie de session est encore présent dans le navigateur ou quand l’IP n’a pas changé
      Édition : j’ai essayé moi-même avec une nouvelle IP et une fenêtre de navigation privée Firefox, et oui, c’est bien ça. On peut entrer l’e-mail et choisir la notification dans l’application
    • J’ai eu exactement la même chose. Authenticator demande de confirmer en disant « connecté », mais quand on vérifie sur la page de sécurité, il n’y a absolument aucune trace
      La première fois, j’ai paniqué et fouillé tous les paramètres de sécurité que j’ai pu trouver, mais on aurait dit qu’il ne s’était rien passé du tout
      À partir de la deuxième fois, je me suis contenté d’ignorer, mais ça reste inquiétant. Avec le flux Authenticator par défaut, on peut aussi appuyer par erreur sur le bon chiffre
    • J’ai le même problème depuis quelques mois, et les notifications se sont arrêtées quand j’ai changé mon adresse e-mail
      En réalité, j’ai seulement changé l’alias qui pointe vers la même boîte aux lettres qu’avant
    • La même entreprise veut supprimer la double authentification par SMS et forcer les gens à utiliser sa propre application Authenticator médiocre

  • Le domaine de notre entreprise commence par m. Récemment, plusieurs personnes se sont fait avoir par des e-mails de phishing provenant d’un domaine commençant par rn, parce qu’avec la police Outlook, les deux se ressemblent presque parfaitement

  • J’avais réservé un hôtel sur Booking et j’ai reçu une tentative de phishing qui semblait venir de l’hôtel, via des e-mails et des DM utilisant un domaine du site Booking
    À l’époque, en regardant ça de plus près, ça ne ressemblait pas à un compte hôtel compromis, mais plutôt à un endpoint de messagerie/e-mail côté Booking qui semblait exploitable d’une manière similaire
    Je ne sais pas si c’est exactement le même type de problème, mais c’est intéressant, surtout le fait que Microsoft avait déjà été averti et n’a quand même rien fait

    • Dans tous les cas PayPal que j’ai vus, il s’agissait en général d’e-mails d’hôtel ou de comptes Booking compromis
      En tant que client d’hôtel, j’ai « aidé » plus de dix fois à retirer des malwares ou des outils d’accès à distance de leurs systèmes

  • J’ai l’impression que la solution évidente serait que les entreprises arrêtent de créer un million de domaines différents et utilisent plutôt des sous-domaines comme internal.microsoft.com, mais c’est déprimant de voir à quel point ce point de vue semble déconnecté de la réalité ici, au point que personne ne le mentionne même

    • Ils ont même .microsoft, alors je ne vois pas pourquoi ils s’embêtent ainsi
    • C’est vrai
      Une fois, une administration allemande a envoyé à notre entreprise un courrier demandant une exportation de données, à téléverser sur findrive-ni.de
      C’était bien légitime, mais ce n’était ni un sous-domaine du domaine du Land de Basse-Saxe, ni référencé nulle part sur le site officiel

  • Je reçois chaque jour 20 à 30 spams venant de serveurs Google. Pour m’amuser, je les classe dans un dossier SPAM séparé
    Impossible de trouver qui contacter, comment pousser Google à arrêter ça, ni où signaler l’abus de service ; l’ensemble du service ressemble en pratique à un immense « dégage, on ne veut pas être contactés »
    Je me dis que je devrais peut-être publier un billet pour qu’il remonte ici sur HN. Peut-être que ça donnerait enfin à quelqu’un chez Google une raison de regarder

    • Je suis moi aussi tombé dans ce terrier. J’ai essayé tous les canaux de signalement d’abus que j’ai pu trouver
      network-abuse@ redirige vers le formulaire de signalement d’abus Google Cloud, qui répond ensuite que « l’IP mentionnée dans le rapport n’est pas hébergée sur Google Cloud, nous ne pouvons donc pas agir »
      Le signalement d’abus Gmail, lui, ne répond même pas. Au final, j’ai bloqué les identifiants DKIM liés à Firebase dans Rspamd
    • Tu peux essayer ici : https://support.google.com/mail/contact/abuse?hl=en
      J’y ai soumis la semaine dernière un compte qui envoyait des e-mails de phishing, mais on m’a dit en gros que c’était un trou noir et qu’il ne fallait rien attendre

  • Meta a aussi eu, ou a peut-être encore, un bug similaire dans l’une des fonctions de Business Manager. L’attaquant pouvait contrôler totalement le texte initial du corps, ce qui le rendait extrêmement crédible
    J’ai essayé de le signaler, mais ça a été une perte de temps totale. Il y a tellement de spam dans le bug bounty que leur procédure de soumission de problèmes de sécurité semble parfois filtrer aussi les vrais problèmes quand ils arrivent

    • J’ai reçu ce type d’e-mails pendant si longtemps que j’ai commencé à me demander si je n’étais pas personnellement visé, plutôt qu’en présence d’un problème répandu. C’est parce que Meta semblait ne rien faire du tout
      Les e-mails viennent réellement de noreply@business.facebook.com, avec du texte du genre ci-dessous. On en est à devoir deviner quelles parties relèvent du template Meta et quelles parties viennent d’un texte utilisateur exploité de façon créative
      Your Meta's Page may be at risk due to unusual activity...
      Your Page is under restriction review Contact Meta Support: metafanpageviolate@gmail.com ...

  • Est-ce qu’il se passe la même chose chez PayPal ? Je reçois des e-mails qui semblent venir d’un domaine PayPal, mais ce sont clairement des arnaques

    • Dans les cas PayPal que j’ai vus, il s’agissait généralement d’envoyer une demande de transfert d’un montant élevé, puis d’utiliser le champ libre de motif pour y mettre un faux message disant « si vous pensez que c’est une arnaque, appelez [en réalité un numéro d’arnaque] »

  • Récemment, après avoir reçu beaucoup de spam venant de serveurs MX de Google, tout s’est arrêté quand j’ai bloqué tous les e-mails portant l’en-tête X-Google-Group-Id
    Je ne sais pas comment c’est possible, mais le contenu était contrôlé à 100 % par les spammeurs et il n’y avait aucun template Google

  • J’ai déjà reçu un e-mail d’arnaque Coinbase provenant de @akamai.com
    On dirait que l’une des sociétés rachetées par Akamai avait une configuration SPF incorrecte