Шахраї розсилають повідомлення з реальної адреси Microsoft: як вони це роблять

Користувачі почали масово отримувати підозрілі листи, які виглядають як офіційні повідомлення Microsoft. Вони надходять із справжньої адреси компанії, яка має бездоганну репутацію і зазвичай вважається безпечною. Саме це робить нову хвилю шахрайства значно небезпечнішою, ніж звичайний спам.

Саме цим і скористалися зловмисники. В одному з випадків користувачка отримала лист із повідомленням про нібито списання 399 доларів США. У тексті був вказаний номер телефону для "скасування транзакції". Під час дзвінка співрозмовник переконував встановити програму для віддаленого доступу, щоб нібито допомогти вирішити проблему.

Фактично це класична схема, яка дозволяє шахраям отримати повний контроль над комп’ютером жертви. Примітно, що фейкова "підтримка" погоджувалася працювати лише з macOS або Windows, а Linux одразу відкидалася.

Дослідження показало, що проблема не поодинока. В інтернеті з’явилися десятки скарг на аналогічні листи, частину з яких користувачі навіть опублікували на офіційних майданчиках Microsoft.

Як це працює?

Аналітики пояснюють механіку атаки досить просто. У Power BI існує функція, яка дозволяє додавати зовнішні електронні адреси як підписників на звіти, що надходять через розсилку сервісу компанії, а отже з офіційної адреси. Інформація про підписку та справжнє джерело розсилки в таких листах захована внизу повідомлення і легко лишається непоміченою.

За словами дослідників загроз, використання легітимного сервісу різко підвищує довіру до листа. У повідомленнях немає шкідливих вкладень чи посилань, тому автоматичні фільтри часто їх пропускають. Основна фаза атаки переноситься в телефонну розмову, де класичні інструменти захисту електронної пошти вже не працюють. У результаті зловмисники отримують одразу дві переваги – авторитетний домен Microsoft і мінімальний ризик блокування.

Це вже не вперше

Це не перший випадок зловживання Power BI:

• Раніше експерти фіксували кампанії, де через цей сервіс розсилали фішингові посилання, про що писали в Центрі захисту від фішингу Cofense.
• Подібні проблеми мали й інші великі компанії. Наприклад, Google також стикався з масовими шахрайськими розсилками, які проходили через його хмарні платформи, зазначала кібербезпекова компанія Check Point.

Наразі лишається відкритим ключове питання: чи потрібно користувачам свідомо погоджуватися на отримання таких листів, чи сервіс дозволяє автоматично надсилати їх на будь-яку зовнішню адресу.

Представники Microsoft повідомили журналістам, що вивчають ситуацію, але чітких відповідей поки не надали. Для досвідчених користувачів схема виглядає знайомою, але для менш обізнаних людей лист із перевіреної адреси може здатися цілком справжнім.