微軟性勒索騙局解釋:不,他們沒有你身上的污垢
聰明的策略:駭客利用 Microsoft 365 管理入口網站進行性勒索詐騙
網路犯罪分子設計了一種巧妙的方法來繞過垃圾郵件過濾器,並利用 Microsoft 365 管理入口網站將性勒索電子郵件直接發送到毫無戒心的收件匣。他們利用 Microsoft 365 訊息中心(通常為合法服務更新保留的平台)來傳播欺騙性訊息。透過利用其「共享」功能,這些駭客製造了一種錯覺,認為他們的通訊是來自 Microsoft 的真正更新。
性勒索計劃揭曉
這些詐騙電子郵件的內容令人不安;他們經常聲稱您的設備已被入侵,並且發送者擁有有罪的材料,例如您在敏感情況下的視訊或圖像。詐騙者要求以比特幣付款,並威脅稱,如果不滿足他們的要求,他們將釋放這些所謂的材料。使用合法的 Microsoft 電子郵件地址增加了一層真實性,使威脅顯得更加可信。
繞過安全措施
這些電子郵件的與眾不同之處在於它們能夠繞過傳統的電子郵件安全措施。通常,此類詐騙會被垃圾郵件過濾器偵測並標記。但是,由於這些訊息源自於經過驗證的 Microsoft 位址(特別是o365mc@microsoft.com ),因此它們會逃避偵測。這種對信任的巧妙操縱極大地增加了局勢的危險。
利用技術漏洞
攻擊者利用了 Microsoft 365 訊息中心共用功能中的「個人訊息」欄位。此欄位旨在允許簡短的解釋性註釋,通常支援最多 1,000 個字元。然而,駭客已經找到了一種方法,可以使用瀏覽器開發人員工具來操縱HTML textarea元素中的maxlength屬性,從而使他們能夠突破此限制。因此,它們可能包含冗長的性勒索訊息,這些訊息在處理和發送時不會被任何截斷。
安全監督和使用者意識
這種情況引起了人們對微軟安全協議的嚴重擔憂,因為它破壞了「永遠不要相信用戶輸入」的基本網路安全原則。 )的依賴是不夠的。因此,電子郵件系統會無意中處理並發送修改後的詐騙訊息。
認識威脅
儘管這些詐騙者採用了巧妙的策略,但用戶將這些電子郵件識別為詐騙行為至關重要。根據Bleeping Computer報道,微軟目前正在調查這個嚴重問題。然而,尚未實施有效的伺服器端預防措施來打擊這種濫用行為。
高級性勒索詐騙的興起
最近,Microsoft Answers 論壇上分享了一個令人不安的性勒索電子郵件範例,其中郵件包含奇怪的符號以及收件人生日等個人訊息,從而增強了其可信度。該電子郵件威脅稱,除非在 48 小時內支付比特幣,否則將發布涉嫌不當的影片。
雖然性勒索計劃並不新鮮,但它們已經演變成更複雜的操作。這些詐騙中很大一部分是由臭名昭著的團體精心策劃的,例如來自西非的“雅虎男孩”,他們在TikTok 和YouTube 等平台上分享教學指南,專門針對Instagram 等社交媒體平台上的青少年和年輕人。
發佈留言