Cuidado si has recibido este correo de Microsoft: ni es legítimo ni tu cuenta está en peligro
Microsoft ha dejado una puerta abierta a los ciberdelincuentes, ahora pueden utilizar cuentas de correo oficiales para enviar mensajes spam y distribuir estafas.
Microsoft tiene una vulnerabilidad sin resolver durante meses. Los estafadores aprovechan un vacío que les permite enviar correos electrónicos desde una dirección interna de los de Redmond que normalmente se utiliza para enviar alertas reales a los usuarios.
Esta nueva estafa es prácticamente imposible de detectar. Los ciberdelincuentes pueden crear nuevas cuentas de Microsoft y explotar ese acceso para enviar correos electrónicos suplantando la identidad del gigante tecnológico.
Microsoft tiene un enorme problema con su correo
Los estafadores están empezando a enviar correos electrónicos con una estructura muy similar a la de Microsoft, con asuntos y enlaces a sitios web fraudulentos de los de Redmond, uno de ellos es msonlineservicesteam@microsoftonline.com, una cuenta que se utilizaba para enviar códigos de autenticación de dos factores y alertas críticas.
Los ciberdelincuentes tan solo tienen que copiar los asuntos de notificaciones reales y crear un mensaje creíble. Los correos fraudulentos alertaban de supuestas amenazas en los pagos o problemas en la cuenta de Microsoft.
La organización sin fines de lucro The Spamhaus Project ha denunciado esta práctica. Los expertos en ciberseguridad confirman haber detectado un uso fraudulento en la dirección de correo electrónico de notificación de cuentas de Microsoft.
Este correo electrónico se ha utilizado recientemente para enviar spam, aseguran que esta actividad se remontaba a "varios meses atrás". “Los sistemas de notificación automatizados no deberían permitir este nivel de personalización”, comenta Spamhaus.
No hay una solución para acabar con el spam
The Spamhaus Project y otros expertos en seguridad han notificado este problema, pero Microsoft aún no ha encontrado la solución. Los de Redmond deben blindar sus direcciones de correo para evitar que se puedan crear nuevas “cuentas legítimas”.
“Estamos investigando activamente estos informes de phishing y tomando medidas para proteger a nuestros clientes. Esto incluye reforzar nuestros mecanismos de detección y bloqueo, así como eliminar las cuentas que infrinjan nuestras Condiciones de uso”, según un comunicado de Emelia Katon, portavoz de Microsoft.
Este no es un caso aislado de Microsoft, los ciberdelincuentes empiezan a utilizar cuentas oficiales de las empresas para enviar mensajes spam o estafas. La empresa financiera Betterment sufrió una situación muy similar con correos que prometían triplicar el valor de las criptomonedas que los usuarios enviaran, un fraude evidente.