هکرها با ترفندی هوشمندانه از پورتال ادمین Microsoft 365 استفاده میکنند تا ایمیلهایی ارسال کنند که به راحتی از فیلترهای اسپم عبور کرده و مستقیماً به صندوق ورودی شما میرسند. این کلاهبرداران از مرکز پیامرسانی مایکروسافت 365 (Microsoft 365 Message Center) که بطور معمول برای ارسال بروزرسانیهای معتبر درباره خدمات و ویژگیها طراحی شده است، سوءاستفاده میکنند. به جای ارسال بروزرسانیهای واقعی، آنها با استفاده از قابلیت "اشتراک گذاری" (Share) پیامهای جعلی خود را ارسال میکنند و اینگونه نشان میدهند که این پیامها مستقیماً از طرف مایکروسافت ارسال شدهاند.
محتوای این ایمیلها
این ایمیلها ادعا میکنند که دستگاه شما هک شده و اطلاعاتی علیه شما دارند، مانند تصاویر یا ویدیوهای خصوصی در شرایط حساس. سپس، کلاهبرداران از شما درخواست پرداخت بیت کوین میکنند و تهدید میکنند که در صورت عدم پرداخت، این اطلاعات را افشا خواهند کرد. استفاده از یک آدرس ایمیل رسمی مایکروسافت، مانند o365mc@microsoft.com، باعث میشود این ایمیلها بسیار واقعی به نظر برسند و فریبندهتر شوند.
عبور از فیلترهای امنیتی
آنچه این ایمیلها را خطرناکتر میکند، نحوه عبور آنها از سیستمهای امنیتی ایمیل است. معمولاً این نوع پیامها توسط فیلترها شناسایی و مسدود میشوند، اما چون از یک آدرس معتبر مایکروسافت ارسال میشوند، بطور ناخواسته از فیلترها عبور میکنند.
نحوه سوءاستفاده کلاهبرداران
این افراد از فیلد "پیام شخصی" (Personal Message) در قابلیت اشتراک گذاری مرکز پیامرسانی مایکروسافت سوءاستفاده میکنند. این فیلد معمولاً برای افزودن یادداشتهای کوتاه هنگام به اشتراک گذاری توصیهها طراحی شده است و محدودیت ۱۰۰۰ کاراکتر دارد. اما کلاهبرداران با استفاده از ابزارهای توسعه دهنده مرورگر (Browser Developer Tools)، ویژگی maxlength در عنصر HTML مربوط به این فیلد را دستکاری کرده و این محدودیت را حذف میکنند. به این ترتیب، آنها قادرند متن کامل پیام خود را بدون هیچ محدودیتی وارد کنند.
این وضعیت برای مایکروسافت بسیار شرمآور است، زیرا یکی از اصول ابتدایی امنیت سایبری این است که نباید به ورودی کاربر اعتماد کرد. معمولاً گفته میشود "هرگز به اطلاعات ارسال شده از مرورگر اعتماد نکنید"، زیرا اعتبارسنجی در سمت کاربر (Client-Side) قابل اطمینان نیست. در این مورد، به دلیل نبود بررسیهای سمت سرور (Server-Side)، سیستم ایمیل مایکروسافت پیامهای دستکاری شده را بدون هیچ مشکلی پردازش و ارسال میکند.
واکنش مایکروسافت و کاربران
مایکروسافت اعلام کرده که از این سوءاستفاده آگاه است و در حال بررسی این مشکل است، اما تا این لحظه هیچ راهکاری برای جلوگیری از این سوءاستفاده در سطح سرور اعمال نشده است. یکی از کاربران در فروم Microsoft Answers نسخهای از یکی از این ایمیلهای کلاهبرداری را منتشر کرده که محتوای آن حاوی نمادهای عجیب و اطلاعاتی دقیق درباره گیرنده، از جمله تاریخ تولد او، بوده است. این ایمیل گیرنده را تهدید کرده که در صورت عدم پرداخت بیتکوین طی ۴۸ ساعت، اطلاعات خصوصی او افشا خواهد شد.
نتیجهگیری
در حالی که این تکنیک کلاهبرداران باعث عبور ایمیلها از فیلترها میشود، کاربران باید هوشیار باشند و این پیامها را به عنوان یک کلاهبرداری شناسایی کنند. عدم پرداخت و گزارش این ایمیلها به مایکروسافت یا مقامات مربوطه میتواند به مقابله با این تهدید کمک کند.