骗子正在滥用一个微软内部账户发送垃圾链接

# 骗子滥用微软内部账户发送垃圾链接 | TechCrunch 来源：https://techcrunch.com/2026/05/21/scammers-are-abusing-an-internal-microsoft-account-to-send-spam/ 数月来，骗子一直利用一个漏洞，通过微软通常用于发送合法账户通知的内部邮箱地址发送垃圾邮件。 目前尚不清楚骗子是如何滥用这一系统的，但他们能够像新客户一样创建微软账户，并利用这一权限发送看似来自这家科技巨头的邮件，从而可能诱骗用户相信这些邮件是真实的。 微软似乎尚未有效控制这一问题。 上周，我在多个不同邮箱账户中收到了几封结构类似的邮件，这些邮件包含标题和指向诈骗网站的链接，均来自微软。这些制作粗糙的邮件（https://mastodon.social/@zackwhittaker/116562360000833298）发自 `[email protected]`，这是微软用于向用户发送重要通知的邮箱账户，例如双重身份验证码及其他关键账户警报。 其中一些邮件的主题行与官方通知极为相似，通常用于提醒用户可疑交易；而另一些邮件则声称收件人在邮件正文中提到的网址上有一条私信等待查看。 一封垃圾邮件副本，来自 "[email protected]"，但内容明显是垃圾信息。**图片来源：**TechCrunch（截图） 在周二的一篇社交帖子（https://infosec.exchange/@spamhaus/116601270466207765）中，反垃圾邮件非营利组织 Spamhaus Project 表示，他们也发现微软的账户通知邮箱地址被滥用于发送垃圾邮件，且这一活动可追溯到“数月前”。 Spamhaus 写道：“自动化通知系统不应允许这种程度的自定义。”该组织补充说，已向微软通报了这一问题。 本周早些时候，当 TechCrunch 联系微软时，微软确认收到了我们的询问，但截至发稿时未予置评。 在文章发表后，微软通过第三方公关机构 Emelia Katon 提供的一份声明中表示：“我们正在积极调查并针对这些钓鱼报告采取行动，以帮助保护客户安全。这包括进一步加强我们的检测和拦截机制，同时移除违反我们使用条款的账户。” 这是最近几个月来，黑客或骗子利用公司系统欺骗毫无戒心的客户的一系列事件中的最新一起。今年早些时候，黑客攻破了金融科技公司 Betterment 使用的平台，发送欺诈性通知（https://techcrunch.com/2026/01/12/fintech-firm-betterment-confirms-data-breach-after-hackers-send-fake-crypto-scam-notification-to-users/），声称用户发送的任何加密货币价值可翻三倍——这是一种广泛用于窃取人们加密货币的诈骗手段。 早在 2023 年，黑客也曾利用对 Namecheap 邮箱账户的访问权限（https://www.bleepingcomputer.com/news/security/namecheaps-email-hacked-to-send-metamask-dhl-phishing-emails/），发送旨在窃取用户凭证的钓鱼邮件。 其他用户在社交媒体上评论称，其他公司的邮箱地址也被用于发送垃圾邮件，表明这一问题并非仅限于微软。 *已更新微软的回应。* *当您通过我们文章中的链接购买商品时，我们可能会获得少量佣金（https://techcrunch.com/techcrunch-affiliate-monetization-standards/）。但这不影响我们的编辑独立性。* Zack Whittaker 是 TechCrunch 的安全编辑。他还撰写了每周网络安全新闻通讯《本周安全》（this week in security）（https://this.weekinsecurity.com/）。 您可以通过加密消息在 Signal 上联系他：zackwhittaker.1337。您也可以通过电子邮件联系他，或为确认联系，请发送至 [[email protected]](mailto:[email protected])。 查看简介（https://techcrunch.com/author/zack-whittaker/）