Мошенники рассылают сообщения с реального адреса Microsoft: как они это делают

Александр Гайдамашко

Основные тезисы

Мошенники используют реальный адрес Microsoft для массовой рассылки подозрительных писем, чтобы вызвать доверие у пользователей.
Злоумышленники эксплуатируют функцию Power BI, которая позволяет добавлять внешние электронные адреса как подписчиков на отчеты, чтобы обойти почтовые фильтры.

Microsoft Power BI – мошенничество через официальный адрес электронной почты

Мошеннические письма приходят с реального адреса Microsoft и выглядят убедительно / Коллаж 24 Канала/Depositphotos

Пользователи начали массово получать подозрительные письма, которые выглядят как официальные сообщения Microsoft. Они поступают с настоящего адреса компании, который имеет безупречную репутацию и обычно считается безопасным. Именно это делает новую волну мошенничества значительно опаснее, чем обычный спам.

Как Microsoft превратили в инструмент обмана?

Специалисты по кибербезопасности обратили внимание на серию мошеннических писем, которые присылаются с адреса no-reply-powerbi@microsoft.com . Это реальный домен Microsoft, связанный с сервисом Power BI – платформой для бизнес-аналитики и визуализации данных. В документации компании прямо указано, что этот адрес следует добавлять в белый список, чтобы письма не блокировались почтовыми фильтрами, пишет Ars Technica.

Именно этим и воспользовались злоумышленники. В одном из случаев пользовательница получила письмо с сообщением о якобы списании 399 долларов США. В тексте был указан номер телефона для "отмены транзакции". Во время звонка собеседник убеждал установить программу для удаленного доступа, чтобы якобы помочь решить проблему.

Фактически это классическая схема, которая позволяет мошенникам получить полный контроль над компьютером жертвы. Примечательно, что фейковая "поддержка" соглашалась работать только с macOS или Windows, а Linux сразу отвергалась.

Исследование показало, что проблема не единична. В интернете появились десятки жалоб на аналогичные письма, часть из которых пользователи даже опубликовали на официальных площадках Microsoft.

Как это работает?

Аналитики объясняют механику атаки довольно просто. В Power BI существует функция, которая позволяет добавлять внешние электронные адреса как подписчиков на отчеты, поступающие через рассылку сервиса компании, а значит с официального адреса. Информация о подписке и настоящий источник рассылки в таких письмах спрятана внизу сообщения и легко остается незамеченной.

По словам исследователей угроз, использование легитимного сервиса резко повышает доверие к письму. В сообщениях нет вредных вложений или ссылок, поэтому автоматические фильтры часто их пропускают. Основная фаза атаки переносится в телефонный разговор, где классические инструменты защиты электронной почты уже не работают. В результате злоумышленники получают сразу два преимущества – авторитетный домен Microsoft и минимальный риск блокировки.

Это уже не первый раз

Это не первый случай злоупотребления Power BI:

Ранее эксперты фиксировали кампании, где через этот сервис рассылали фишинговые ссылки, о чем писали в Центре защиты от фишинга Cofense.
Подобные проблемы имели и другие крупные компании. Например, Google также сталкивался с массовыми мошенническими рассылками, которые проходили через его облачные платформы, отмечала кибербезопасная компания Check Point.

Сейчас остается открытым ключевой вопрос: нужно ли пользователям сознательно соглашаться на получение таких писем, или сервис позволяет автоматически отправлять их на любой внешний адрес.

Представители Microsoft сообщили журналистам, что изучают ситуацию, но четких ответов пока не предоставили. Для опытных пользователей схема выглядит знакомой, но для менее осведомленных людей письмо с проверенного адреса может показаться вполне настоящим.