Penipu menyalahgunakan akun internal Microsoft untuk mengirim tautan spam

 (techcrunch.com)
1 poin oleh GN⁺ 3 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Selama berbulan-bulan, para pelaku penipuan menyalahgunakan alamat email internal Microsoft untuk mengirim email spam yang menyamar sebagai notifikasi akun resmi
  • Alamat pengirim yang bermasalah adalah msonlineservicesteam@microsoftonline.com, yang semula merupakan kanal resmi untuk pemberitahuan akun penting seperti kode autentikasi dua faktor
  • Para pelaku memanfaatkan celah sistem dengan cara membuat akun Microsoft baru, tetapi metode bypass yang spesifik masih belum jelas
  • Organisasi nirlaba anti-spam The Spamhaus Project telah mengamati penyalahgunaan yang sama selama beberapa bulan dan memberi tahu Microsoft
  • Microsoft sedang menyelidiki dan menindak laporan phishing, sekaligus memperkuat mekanisme deteksi dan pemblokiran serta menghapus akun yang melanggar ketentuan

Ringkasan insiden

  • Selama berbulan-bulan, para pelaku penipuan memanfaatkan celah yang memungkinkan pengiriman email spam melalui alamat email internal resmi Microsoft yang digunakan untuk notifikasi akun
  • Dengan berpura-pura sebagai pelanggan baru, para pelaku membuat akun Microsoft baru lalu menggunakan akses tersebut untuk mengirim email atas nama Microsoft
  • Ada risiko penerima salah mengira email tersebut sebagai notifikasi asli
  • Hingga saat ini, Microsoft belum sepenuhnya mengendalikan masalah tersebut

Ciri-ciri email spam yang dikirim

  • Pekan lalu, seorang reporter TechCrunch menerima banyak email spam dengan struktur serupa di beberapa akun email
    • Semuanya dikirim dari alamat msonlineservicesteam@microsoftonline.com
    • Alamat tersebut adalah akun resmi yang digunakan Microsoft untuk mengirim kode autentikasi dua faktor dan notifikasi penting terkait akun online
  • Judul dan susunan isi email
    • Sebagian email meniru format subjek email resmi yang tampak seperti peringatan transaksi mencurigakan
    • Email lainnya mengklaim bahwa "pesan pribadi sedang menunggu" di alamat web yang tercantum di badan email
    • Email-email itu dibuat dengan kasar (crudely made)

Pengamatan Spamhaus Project

  • Organisasi nirlaba anti-spam The Spamhaus Project mengumumkan lewat unggahan sosial pada hari Selasa bahwa mereka telah mengonfirmasi penyalahgunaan yang sama
    • Mereka mengamati bahwa aktivitas penyalahgunaan alamat email notifikasi akun Microsoft untuk mengirim spam telah berlangsung selama "berbulan-bulan"
  • Spamhaus: "Sistem notifikasi otomatis seharusnya tidak mengizinkan tingkat kustomisasi seperti ini"
  • Organisasi tersebut sudah memberi tahu Microsoft tentang masalah ini

Tanggapan Microsoft

  • Saat TechCrunch menghubungi Microsoft pada awal pekan, Microsoft hanya mengonfirmasi telah menerima pertanyaan dan tidak memberikan jawaban hingga tenggat waktu
  • Setelah artikel diterbitkan, Emelia Katon menyampaikan posisi resmi Microsoft melalui agensi PR eksternal
    • "Kami secara aktif menyelidiki dan menindak laporan phishing serta berupaya melindungi pelanggan"
    • Sedang dilakukan penguatan mekanisme deteksi dan pemblokiran
    • Pekerjaan penghapusan akun yang melanggar ketentuan juga berjalan bersamaan

Kasus penyalahgunaan serupa

  • Dalam beberapa bulan terakhir, serangkaian insiden terjadi ketika peretas dan penipu menyalahgunakan sistem perusahaan untuk menipu pelanggan
  • Kasus yang terjadi awal tahun ini
    • Peretas membobol platform yang digunakan perusahaan fintech Betterment
    • Mereka mengirim [notifikasi palsu yang menjanjikan nilai cryptocurrency yang dikirim pengguna akan menjadi tiga kali lipat](https://techcrunch.com/2026/01/12/fintech-firm-betterment-confirms-data-breach-after-hackers-send-fake-crypto-scam-notification-to-users/) (penipuan pencurian kripto yang tipikal)
  • Kasus pada 2023
  • Menurut pengguna media sosial, alamat email dari perusahaan lain juga disalahgunakan untuk mengirim spam, sehingga masalah ini tidak terbatas pada Microsoft

Bacaan terkait

1 komentar

 
GN⁺ 3 jam lalu
Opini-opini Hacker News

  • Sulit bilang siapa yang bisa yakin bahwa microsoftonline.com itu benar-benar asli. Pengelolaan domain Microsoft begitu berantakan, jadi tidak akan mengejutkan kalau bahkan di internal mereka sendiri tidak punya daftar lengkap seluruh aset domain yang mereka miliki
    Ironisnya, perusahaan-perusahaan bersikeras menyuruh orang memeriksa domain untuk membedakan spam, tetapi mereka sendiri tidak mampu mempublikasikan daftar semua domain yang resmi mereka pakai untuk mengirim email

    • Sepertinya maksudnya semacam cerita bahwa Microsoft pindah dari domain yang mudah dibaca dan diingat seperti office.com ke domain aneh yang terkesan pamer seperti m365.cloud.microsoft
    • Agak berbeda, tapi di India dulu setiap kali masa perpanjangan asuransi tiba, saya menerima setidaknya 12 panggilan penipuan perbankan per hari. Saya berharap bank mempublikasikan nomor telepon resmi dan mewajibkan pegawai hanya memakai nomor resmi, dan baru-baru ini regulator benar-benar melakukan itu sehingga bank hanya boleh memakai nomor 1600 untuk menghubungi pelanggan
      Setelah itu, panggilan penipuan bank turun menjadi 0
    • Bluesky malah lebih parah, karena sebagian email datang dari moderation@blueskyweb.xyz
      Terutama karena mereka meminta hal-hal seperti kartu identitas dikirim ke alamat itu, mereka sampai harus membuat postingan untuk meyakinkan orang bahwa itu bukan penipuan: https://bsky.app/profile/safety.bsky.app/post/3ljp6zi7tp227
    • Selain itu, mereka membungkus tautan di dalam email dengan domain pelacakan klik, dan kadang domain itu adalah sesuatu seperti Mailgun yang sama sekali tidak terkait dengan perusahaannya
      Jadi bahkan kalau kita memeriksa langsung tautan yang akan diklik, email yang sah pun terlihat seperti menuju domain penipuan
    • Saya mencoba mengecek hal pertama yang terpikir, dan internalmicrosoft.com serta microsoftinternal.com ternyata masih bisa didaftarkan. Kalau ruang penyalahgunaannya sebesar ini, rasanya masuk akal untuk menjaga kumpulan domain resmi jauh lebih ketat

  • Sedikit terkait, keamanan Microsoft benar-benar buruk
    Sepanjang minggu lalu Microsoft Authenticator terus mengirim notifikasi bahwa ada percobaan login dari berbagai tempat, tetapi halaman riwayat login benar-benar kosong. Bahkan login saya sendiri tidak muncul
    Orang mungkin mengira kata sandinya bocor, tetapi bukan itu. Alur login bawaan ketika aplikasi diaktifkan adalah email + Authenticator, tanpa perlu kata sandi. Yang lebih absurd lagi, opsi ini tidak bisa diubah dari aplikasi
    Microsoft seharusnya sadar bahwa satu-satunya alasan akun itu masih ada adalah karena mereka mengakuisisi Minecraft, dan tidak perlu mempersulit hidup saya

    • Microsoft juga punya fitur keren di mana kalau seseorang terlalu sering gagal login ke akun, akun itu terkunci dan meskipun kata sandinya benar tetap diminta reset kata sandi
      Bahkan setelah mengganti kata sandi, saya tetap tidak bisa login ke email dari ponsel, jadi saya menyerah saja. Toh email itu hanya saya pakai untuk beberapa hal
    • Saya kira itu hanya terjadi kalau ada cookie sesi lama di browser atau IP tidak berubah
      Edit: saya coba sendiri dengan IP baru dan jendela privasi Firefox, dan ternyata benar. Saya bisa memasukkan email lalu memilih notifikasi aplikasi
    • Saya juga mengalami hal yang sama. Authenticator meminta konfirmasi dengan mengatakan “login berhasil”, tetapi saat dicek di halaman keamanan tidak ada catatan sama sekali
      Awalnya saya panik dan memeriksa semua pengaturan keamanan yang bisa saya temukan, tetapi seolah-olah tidak terjadi apa-apa
      Sejak yang kedua saya abaikan saja, tapi tetap terasa tidak aman. Dalam alur Authenticator bawaan, ada kemungkinan tanpa sengaja menekan angka yang benar
    • Beberapa bulan lalu saya juga mulai mengalami hal yang sama, dan notifikasinya berhenti setelah saya mengganti alamat email
      Padahal yang saya ubah hanya alias yang tetap mengarah ke kotak surat yang sama seperti sebelumnya
    • Perusahaan yang sama juga menghentikan autentikasi 2 faktor SMS dan berusaha memaksa orang memakai aplikasi Authenticator mereka yang buruk

  • Domain perusahaan kami diawali dengan m. Belakangan beberapa orang tertipu oleh email phishing dari domain yang diawali rn, karena di font Outlook keduanya terlihat hampir sama

  • Dulu saya pernah memesan hotel lewat Booking, lalu menerima upaya phishing yang tampak seperti dikirim hotel melalui email domain situs Booking dan DM
    Saat saya telusuri waktu itu, tampaknya bukan soal akun hotel yang dibobol, melainkan ada semacam endpoint pesan/email di sisi Booking yang bisa disalahgunakan dengan cara serupa
    Saya tidak tahu apakah ini tipe yang sama, tetapi menarik, terutama karena tampaknya sudah dilaporkan ke Microsoft dan tetap tidak ada tindakan

    • Semua kasus yang saya lihat adalah email hotel atau akun Booking yang dikompromikan
      Sebagai tamu, saya sudah lebih dari sepuluh kali “membantu” menghapus malware atau alat akses jarak jauh dari sistem hotel

  • Saya merasa solusi yang jelas adalah perusahaan berhenti membuat sejuta domain berbeda dan memakai subdomain seperti internal.microsoft.com, tetapi menyedihkan karena ini terasa begitu jauh dari kenyataan sampai-sampai tidak ada yang menyebutkannya di sini pun

    • Mereka bahkan punya .microsoft, jadi saya tidak paham kenapa harus begitu
    • Benar
      Dulu sebuah lembaga pemerintah Jerman pernah mengirim surat ke perusahaan kami meminta ekspor data, lalu menyuruh kami mengunggahnya ke findrive-ni.de
      Ternyata itu memang sah, tetapi bukan subdomain dari domain negara bagian Niedersachsen, dan tidak dirujuk di situs resmi mana pun

  • Setiap hari saya menerima sekitar 20~30 email spam dari server Google. Iseng saja saya mengelompokkannya ke folder SPAM terpisah
    Saya tidak bisa menemukan siapa yang harus dihubungi, bagaimana membuat Google menghentikannya, atau ke mana melaporkan penyalahgunaan layanan. Seluruh layanannya pada dasarnya seperti sebuah “pergi sana, saya tidak mau dihubungi” raksasa
    Saya jadi berpikir mungkin saya juga harus mempublikasikan tulisan agar bisa naik ke HN. Siapa tahu itu memberi dorongan agar seseorang di Google mau melihatnya

    • Saya juga pernah masuk ke lubang kelinci itu. Saya mencoba semua jalur pelaporan penyalahgunaan yang bisa saya temukan
      network-abuse@ mengarahkan saya ke formulir pelaporan penyalahgunaan Google Cloud, dan di sana mereka mengatakan bahwa “IP yang disebut dalam laporan tidak dihosting di Google Cloud sehingga kami tidak bisa mengambil tindakan”
      Laporan penyalahgunaan Gmail bahkan tidak mendapat balasan. Pada akhirnya saya memblokir pengenal DKIM terkait Firebase di Rspamd
    • Bisa coba ke sini: https://support.google.com/mail/contact/abuse?hl=en
      Minggu lalu saya mengirim akun yang mengirim email phishing, tetapi saya diberi tahu bahwa pada dasarnya itu lubang hitam, jadi jangan berharap ada yang terjadi

  • Meta juga pernah atau masih punya bug serupa di salah satu fitur Business Manager. Penyerang bisa sepenuhnya mengendalikan teks isi awal, jadi tampilannya sangat meyakinkan
    Saya sudah mencoba melaporkannya, tetapi benar-benar sia-sia. Tampaknya spam bug bounty terlalu banyak sehingga proses pengajuan keamanan malah menyaring masalah nyata yang sesekali masuk

    • Saya sudah terlalu lama menerima email seperti ini, sampai mulai bertanya-tanya apakah saya satu-satunya target, bukan masalah yang tersebar luas. Soalnya Meta terlihat tidak melakukan apa-apa
      Emailnya benar-benar datang dari noreply@business.facebook.com, dan berisi teks seperti di bawah ini. Rasanya seperti diminta menebak bagian mana yang template Meta dan bagian mana yang merupakan penyalahgunaan kreatif atas teks yang dimasukkan pengguna
      Your Meta's Page may be at risk due to unusual activity...
      Your Page is under restriction review Contact Meta Support: metafanpageviolate@gmail.com ...

  • Apakah hal serupa juga terjadi di PayPal? Saya menerima email yang tampak berasal dari domain PayPal, tetapi jelas penipuan

    • Kasus PayPal yang saya lihat umumnya berupa pengiriman permintaan transfer uang dalam jumlah besar, lalu memakai kolom input bebas untuk alasan dengan memasukkan kalimat palsu seperti “kalau Anda merasa ini penipuan, hubungi [yang sebenarnya nomor penipuan]”

  • Belakangan saya menerima banyak spam dari server Google MX, lalu berhenti setelah saya memblokir semua email yang memiliki header X-Google-Group-Id
    Saya tidak tahu bagaimana itu bisa terjadi, tetapi isinya 100% dikendalikan spammer dan tidak memakai template Google

  • Dulu saya pernah menerima email penipuan Coinbase yang datang dari @akamai.com
    Sepertinya salah satu perusahaan yang diakuisisi Akamai memiliki konfigurasi SPF yang keliru