科技媒体 TechCrunch 于 5 月 27 日发布博文,报道称在过去数月时间里,有诈骗者滥用微软真实邮箱 msonlineservicesteam@microsoftonline.com 发送钓鱼邮件。
IT之家援引博文介绍,该问题已持续数月,该邮箱平时主要负责发送双因素 2FA 验证码以及其他账户通知,因此邮件外观更容易取得用户信任。
该媒体深入挖掘,指出该问题并非常见的显示名称冒充,现有证据表明攻击者滥用微软的合法通知系统或关联账户机制。
过去很多用户习惯把“核对发件人地址”当成首要防线,不过在最新案例中,该媒体指出该方法已无法有效抵御新型攻击,更稳妥的应对方式是,不点击邮件中的任何链接。
若邮件声称账户存在警告、异常登录或安全提醒,用户应直接打开微软官方网站或官方应用,自行登录后查看账户通知。
