Tại sao nó quan trọng: Bleepingcomputer báo cáo rằng Tội phạm mạng đã phát hiện ra cách lạm dụng Cổng quản trị 365 của Microsoft để gửi các email tống tiền vượt qua các bộ lọc thư rác, khai thác địa chỉ email hợp pháp của Microsoft để truy cập trực tiếp vào hộp thư đến của nạn nhân.
Khai thác: Những kẻ lừa đảo lợi dụng tính năng “Chia sẻ” của Trung tâm Tin nhắn, thao túng trường “Tin nhắn Cá nhân” để gửi yêu cầu tống tiền. Theo Neowin, bằng cách sử dụng các công cụ dành cho nhà phát triển trình duyệt, họ vượt qua giới hạn ký tự để gửi các tin nhắn đe dọa dài dòng yêu cầu thanh toán Bitcoin.
- Tin nhắn có vẻ hợp pháp
- Bỏ qua bảo mật tiêu chuẩn
Lỗ hổng kỹ thuật: Vụ lừa đảo thành công nhờ giám sát bảo mật cơ bản – Microsoft không thực hiện kiểm tra phía máy chủ về độ dài tin nhắn. Bằng cách sửa đổi các thành phần HTML trong trình duyệt của mình, những kẻ lừa đảo có thể vượt quá giới hạn 1.000 ký tự dự kiến, cho phép gửi toàn bộ tin nhắn tống tiền qua hệ thống.
Phản hồi của Microsoft: Công ty thừa nhận vấn đề này và cho biết họ đang điều tra nhưng vẫn chưa thực hiện kiểm tra phía máy chủ để ngăn chặn hành vi lạm dụng. Microsoft tuyên bố: “Chúng tôi rất coi trọng vấn đề bảo mật và quyền riêng tư”, đồng thời hứa hẹn sẽ có hành động để bảo vệ khách hàng.
Tác động và lịch sử: Các vụ lừa đảo sextortion đã được chứng minh là mang lại lợi nhuận cao kể từ khi chúng xuất hiện vào năm 2018 khi được báo cáo là đã tạo ra hơn 50.000 đô la hàng tuần. Mặc dù hiện nay nhiều người dùng đã nhận ra những trò gian lận này nhưng việc lạm dụng các kênh hợp pháp của Microsoft khiến những biến thể mới này đặc biệt đáng lo ngại đối với những người không quen với những mối đe dọa như vậy.
