Microsoft 真寄件地址都可以有伏:Outlook 用家要睇多一層
Tech News

Microsoft 真寄件地址都可以有伏:Outlook 用家要睇多一層

圖片:via TechCrunch — https://techcrunch.com/2026/05/21/scammers-are-abusing-an-internal-microsoft-account-to-send-spam/
TechLab 編輯部(譯)·

唔係寄件者似真就安全,重點係內容同連結

Microsoft 真寄件地址都可以有伏:Outlook 用家要睇多一層

圖:TechCrunch.原文連結

你以為電郵寄件者係 Microsoft,就可以放心打開?今次麻煩位正正係:收件箱顯示嘅寄件地址,可能真係 Microsoft 營運通知系統用開嘅地址,但標題或者內容已經被騙徒塞入可疑字句、連結或者電話。對用 Hotmail、Outlook、Microsoft 365 做日常登入同收工事電郵嘅香港用家,呢件事唔係叫人以後見到 Microsoft 就驚,而係提醒大家:寄件者只係第一層線索,唔係安全證書

據報道,騙徒多月來濫用 [email protected] 發出垃圾及詐騙電郵。呢個地址唔係隨便砌出嚟嘅假網域;Microsoft Learn 文件列明,Microsoft Entra 自助密碼重設通知可由 [email protected][email protected] 發出。換言之,好多公司、學校、政府或 SaaS 登入流程,本身都會令人習慣見到類似 Microsoft on behalf of 某機構嘅驗證碼電郵,騙徒正正係借呢種信任感落手。

今次唔係普通冒認電郵

傳統釣魚電郵通常會用相似網域扮真,例如把 Microsoft 寫到有啲似,或者用一個完全唔相干嘅寄件地址。但今次報道指涉嘅風險唔同:電郵可以由 Microsoft 真通知地址送出,收件人第一眼見到寄件者、部份郵件標頭甚至格式,都可能覺得可信。TechCrunch 收到嘅樣本包括類似交易警示、私人訊息等待讀取等標題;Spamhaus 亦話見到以 Microsoft 通知地址分發垃圾訊息,並指問題似乎已持續數月。

最重要係,暫時未有足夠公開資料證明呢係某個可遠端入侵 Microsoft 系統嘅漏洞,也未見 Microsoft 詳細公開解釋或確認已修復。Spamhaus 估計,騙徒可能係把惡意文字放入帳戶名或機構名等可自訂欄位,再由自動通知系統照樣發出;但呢點未有 Microsoft 正式確認,所以唔應該當成定論。比較穩陣嘅講法係:自動通知系統容許太多自訂內容時,真寄件地址都可以變成詐騙載體

Microsoft 自己都有多條通知線

另一個令事情複雜嘅位係,Microsoft 通知電郵唔止一個地址。Microsoft Support 對個人 Microsoft account team 電郵嘅公開說明,列出 @accountprotection.microsoft.com 係用作安全碼、二步驗證同帳戶更新等通知,並建議用家檢查電郵地址、郵件標頭,以及確認自己有冇要求過驗證碼。可見官方做法本身都係叫人多角度核實,而唔係只睇 From 欄。

所以,見到 @accountprotection.microsoft.com@microsoftonline.com[email protected],都唔應該自動等同安全。正確做法係反問三件事:呢封電郵係咪回應你剛剛做過嘅登入、重設密碼、申請帳戶?內容有冇叫你即刻打電話、付款、輸入密碼、或者開一條同 Microsoft / 你公司無關嘅連結?顯示文字同真正網址係咪一致?如果任何一項答唔到,先當可疑處理。

收到驗證碼同交易提示,可以點做

  • 驗證碼唔係你要求就唔好用:Microsoft 官方說明提到,無要求過嘅驗證碼可能代表有人嘗試登入,亦可能係有人打錯電郵。唔好回覆、唔好把 code 轉畀任何人,直接由瀏覽器手動輸入 Microsoft 官方網址或打開已安裝 app 檢查帳戶活動。
  • 交易或扣數提示唔好跟電郵電話:騙徒好鍾意用 PayPal、加密幣、訂閱續費等字眼製造急迫感。真正要查數,應該直接開官方 app 或官方網站登入,唔好打電郵入面嘅電話。
  • 連結要睇真實網域:電腦上用滑鼠停喺連結上面睇地址;手機上長按預覽,但唔好打開。顯示為 Microsoft,不等於實際去 microsoft.comlive.comaccount.microsoft.com 或公司認可網域。
  • 唔好畀密碼或重設連結:Microsoft Support 明確表示支援人員唔會為保護帳戶而發送密碼重設連結,亦唔會存取或更改帳戶資料。電郵入面有人要求呢啲動作,已經係高危訊號。
  • 用 Outlook 內置回報功能:Microsoft 建議 Outlook 同 Outlook.com 用家可用 Report > Report phishing 回報可疑訊息,讓郵件離開收件箱並改善過濾。

公司 IT team 要改嘅唔止係宣傳海報

對公司 IT team 嚟講,今次唔適合只出一句「小心釣魚電郵」就算。員工以往被教導睇寄件者,今日要補多一句:真通知地址都可能帶有可疑標題或內容。內部提醒最好用具體場景,例如 Microsoft 驗證碼、Outlook 登入提示、假交易扣數、要求打電話取消付款,而唔係抽象講「唔好撳可疑連結」。新同事入職、財務、客服、HR 呢類日日收外來電郵嘅崗位,應該優先做短訓練。

技術上,唔建議為咗收 Microsoft 驗證碼,就把整個 microsoftonline.com 或特定通知地址放入完全繞過掃描嘅 allowlist。Microsoft Defender for Office 365 文件建議,郵件保護要先確保 SPF、DKIM、DMARC 正確,再按需要用 Standard 或 Strict preset security policies、Safe Links、anti-phishing、impersonation protection、安全提示同隔離策略。今次呢類「真系統寄出、內容有伏」嘅個案,DMARC 未必會幫你捉到;更實際係加強對標題、電話號碼、付款字眼、外部連結嘅偵測同事後搜尋。

香港場景:唔係本地爆發,但好貼近日常

目前公開資料未見香港受害個案,也未見同本地銀行、支付工具或電訊商直接掛鈎,所以唔應該寫成香港爆發。不過本地風險唔低,因為 Outlook、Hotmail、Microsoft 365、Teams、SharePoint 喺公司同個人場景都常見;Microsoft 香港商務頁面亦列出 Outlook、Exchange、Teams、OneDrive、SharePoint,以及商務進階版包含嘅 Defender for Office 365。換句話講,呢類通知電郵唔係外國公司先會見到,香港公司日常登入、重設密碼、邀請外部合作伙伴,都可能經過相近流程。

本地數據亦支持要認真處理。HKPC 同私隱專員公署 2024 年企業網安調查指,在過去 12 個月曾遇到網安攻擊嘅受訪企業之中,98% 遇到釣魚攻擊;釣魚類型入面,電郵釣魚佔 79%,仍然係最常見。更值得留意係,人員意識建設分項仍然偏低,只有 35% 受訪企業曾做員工網安意識教育,24% 做過演練。真 Microsoft 通知地址被濫用,正正係會擊中呢個弱點:員工唔係無常識,而係舊規則已經唔夠用。

行業要補嘅係通知系統邊界

呢件事放大咗 SaaS 同身份登入平台一個長期問題:交易電郵、驗證碼、密碼重設通知通常自帶高信任度,亦經常容許客戶自訂機構名、帳戶名、標題或部份內容。自訂係必要功能,否則收件人唔知自己同邊個服務有關;但如果自訂欄位可以放入電話、付款恐嚇、外部連結,甚至令標題變成完整詐騙訊息,通知系統就等於幫騙徒借用平台聲譽。

同類事件唔係第一次。原報道亦提到,早前有金融科技平台通知系統被用作加密幣詐騙通知,2023 年亦有 Namecheap 電郵帳戶被濫用發出釣魚訊息。分別在於,今次牽涉 Microsoft 這種幾乎所有公司 IT 都要面對嘅身份及郵件基建,影響唔止係一個品牌形象問題,而係企業郵件防護、用家教育同自動通知產品設計要一齊調整。

到 Microsoft 公開更完整說明同修復確認之前,最實際嘅結論係:Microsoft 電郵可以係真,但訊息仍然可以有伏。個人用家要把驗證碼同交易提示當成觸發式通知,只在自己剛做過相關動作時信;公司 IT team 則要把「唔好單靠寄件者」寫入訓練同郵件防護規則。真地址唔再等於真內容,呢條線一旦分清,今次事件反而可以變成一次好有用嘅安全更新。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook