
Microsoft 真寄件地址都可以有伏:Outlook 用家要睇多一層
唔係寄件者似真就安全,重點係內容同連結

圖:TechCrunch.原文連結
你以為電郵寄件者係 Microsoft,就可以放心打開?今次麻煩位正正係:收件箱顯示嘅寄件地址,可能真係 Microsoft 營運通知系統用開嘅地址,但標題或者內容已經被騙徒塞入可疑字句、連結或者電話。對用 Hotmail、Outlook、Microsoft 365 做日常登入同收工事電郵嘅香港用家,呢件事唔係叫人以後見到 Microsoft 就驚,而係提醒大家:寄件者只係第一層線索,唔係安全證書。
據報道,騙徒多月來濫用 [email protected] 發出垃圾及詐騙電郵。呢個地址唔係隨便砌出嚟嘅假網域;Microsoft Learn 文件列明,Microsoft Entra 自助密碼重設通知可由 [email protected] 或 [email protected] 發出。換言之,好多公司、學校、政府或 SaaS 登入流程,本身都會令人習慣見到類似 Microsoft on behalf of 某機構嘅驗證碼電郵,騙徒正正係借呢種信任感落手。
今次唔係普通冒認電郵
傳統釣魚電郵通常會用相似網域扮真,例如把 Microsoft 寫到有啲似,或者用一個完全唔相干嘅寄件地址。但今次報道指涉嘅風險唔同:電郵可以由 Microsoft 真通知地址送出,收件人第一眼見到寄件者、部份郵件標頭甚至格式,都可能覺得可信。TechCrunch 收到嘅樣本包括類似交易警示、私人訊息等待讀取等標題;Spamhaus 亦話見到以 Microsoft 通知地址分發垃圾訊息,並指問題似乎已持續數月。
最重要係,暫時未有足夠公開資料證明呢係某個可遠端入侵 Microsoft 系統嘅漏洞,也未見 Microsoft 詳細公開解釋或確認已修復。Spamhaus 估計,騙徒可能係把惡意文字放入帳戶名或機構名等可自訂欄位,再由自動通知系統照樣發出;但呢點未有 Microsoft 正式確認,所以唔應該當成定論。比較穩陣嘅講法係:自動通知系統容許太多自訂內容時,真寄件地址都可以變成詐騙載體。
Microsoft 自己都有多條通知線
另一個令事情複雜嘅位係,Microsoft 通知電郵唔止一個地址。Microsoft Support 對個人 Microsoft account team 電郵嘅公開說明,列出 @accountprotection.microsoft.com 係用作安全碼、二步驗證同帳戶更新等通知,並建議用家檢查電郵地址、郵件標頭,以及確認自己有冇要求過驗證碼。可見官方做法本身都係叫人多角度核實,而唔係只睇 From 欄。
所以,見到 @accountprotection.microsoft.com、@microsoftonline.com 或 [email protected],都唔應該自動等同安全。正確做法係反問三件事:呢封電郵係咪回應你剛剛做過嘅登入、重設密碼、申請帳戶?內容有冇叫你即刻打電話、付款、輸入密碼、或者開一條同 Microsoft / 你公司無關嘅連結?顯示文字同真正網址係咪一致?如果任何一項答唔到,先當可疑處理。
收到驗證碼同交易提示,可以點做
- 驗證碼唔係你要求就唔好用:Microsoft 官方說明提到,無要求過嘅驗證碼可能代表有人嘗試登入,亦可能係有人打錯電郵。唔好回覆、唔好把 code 轉畀任何人,直接由瀏覽器手動輸入 Microsoft 官方網址或打開已安裝 app 檢查帳戶活動。
- 交易或扣數提示唔好跟電郵電話:騙徒好鍾意用 PayPal、加密幣、訂閱續費等字眼製造急迫感。真正要查數,應該直接開官方 app 或官方網站登入,唔好打電郵入面嘅電話。
- 連結要睇真實網域:電腦上用滑鼠停喺連結上面睇地址;手機上長按預覽,但唔好打開。顯示為 Microsoft,不等於實際去
microsoft.com、live.com、account.microsoft.com或公司認可網域。 - 唔好畀密碼或重設連結:Microsoft Support 明確表示支援人員唔會為保護帳戶而發送密碼重設連結,亦唔會存取或更改帳戶資料。電郵入面有人要求呢啲動作,已經係高危訊號。
- 用 Outlook 內置回報功能:Microsoft 建議 Outlook 同 Outlook.com 用家可用 Report > Report phishing 回報可疑訊息,讓郵件離開收件箱並改善過濾。
公司 IT team 要改嘅唔止係宣傳海報
對公司 IT team 嚟講,今次唔適合只出一句「小心釣魚電郵」就算。員工以往被教導睇寄件者,今日要補多一句:真通知地址都可能帶有可疑標題或內容。內部提醒最好用具體場景,例如 Microsoft 驗證碼、Outlook 登入提示、假交易扣數、要求打電話取消付款,而唔係抽象講「唔好撳可疑連結」。新同事入職、財務、客服、HR 呢類日日收外來電郵嘅崗位,應該優先做短訓練。
技術上,唔建議為咗收 Microsoft 驗證碼,就把整個 microsoftonline.com 或特定通知地址放入完全繞過掃描嘅 allowlist。Microsoft Defender for Office 365 文件建議,郵件保護要先確保 SPF、DKIM、DMARC 正確,再按需要用 Standard 或 Strict preset security policies、Safe Links、anti-phishing、impersonation protection、安全提示同隔離策略。今次呢類「真系統寄出、內容有伏」嘅個案,DMARC 未必會幫你捉到;更實際係加強對標題、電話號碼、付款字眼、外部連結嘅偵測同事後搜尋。
香港場景:唔係本地爆發,但好貼近日常
目前公開資料未見香港受害個案,也未見同本地銀行、支付工具或電訊商直接掛鈎,所以唔應該寫成香港爆發。不過本地風險唔低,因為 Outlook、Hotmail、Microsoft 365、Teams、SharePoint 喺公司同個人場景都常見;Microsoft 香港商務頁面亦列出 Outlook、Exchange、Teams、OneDrive、SharePoint,以及商務進階版包含嘅 Defender for Office 365。換句話講,呢類通知電郵唔係外國公司先會見到,香港公司日常登入、重設密碼、邀請外部合作伙伴,都可能經過相近流程。
本地數據亦支持要認真處理。HKPC 同私隱專員公署 2024 年企業網安調查指,在過去 12 個月曾遇到網安攻擊嘅受訪企業之中,98% 遇到釣魚攻擊;釣魚類型入面,電郵釣魚佔 79%,仍然係最常見。更值得留意係,人員意識建設分項仍然偏低,只有 35% 受訪企業曾做員工網安意識教育,24% 做過演練。真 Microsoft 通知地址被濫用,正正係會擊中呢個弱點:員工唔係無常識,而係舊規則已經唔夠用。
行業要補嘅係通知系統邊界
呢件事放大咗 SaaS 同身份登入平台一個長期問題:交易電郵、驗證碼、密碼重設通知通常自帶高信任度,亦經常容許客戶自訂機構名、帳戶名、標題或部份內容。自訂係必要功能,否則收件人唔知自己同邊個服務有關;但如果自訂欄位可以放入電話、付款恐嚇、外部連結,甚至令標題變成完整詐騙訊息,通知系統就等於幫騙徒借用平台聲譽。
同類事件唔係第一次。原報道亦提到,早前有金融科技平台通知系統被用作加密幣詐騙通知,2023 年亦有 Namecheap 電郵帳戶被濫用發出釣魚訊息。分別在於,今次牽涉 Microsoft 這種幾乎所有公司 IT 都要面對嘅身份及郵件基建,影響唔止係一個品牌形象問題,而係企業郵件防護、用家教育同自動通知產品設計要一齊調整。
到 Microsoft 公開更完整說明同修復確認之前,最實際嘅結論係:Microsoft 電郵可以係真,但訊息仍然可以有伏。個人用家要把驗證碼同交易提示當成觸發式通知,只在自己剛做過相關動作時信;公司 IT team 則要把「唔好單靠寄件者」寫入訓練同郵件防護規則。真地址唔再等於真內容,呢條線一旦分清,今次事件反而可以變成一次好有用嘅安全更新。
參考來源
- TechCrunch — Scammers are abusing an internal Microsoft account to send spam links — original report
- The Spamhaus Project social post on Microsoft notification abuse — 補充反垃圾郵件組織觀察,包括標題注入、持續時間同已通知 Microsoft
- How it works: Microsoft Entra self-service password reset — 官方文件確認 SSPR 通知可由 [email protected] 發出
- Can I trust email from the Microsoft account team? — 官方帳戶安全電郵判斷方法,包括 accountprotection.microsoft.com 同驗證碼處理
- Protect yourself from phishing — Microsoft 官方釣魚電郵處理建議,包括檢查連結同 Outlook 回報方法
- Recommended email and collaboration threat policy settings for cloud organizations — Microsoft 365 管理員郵件防護設定參考,包括 Safe Links、anti-phishing、SPF/DKIM/DMARC
- Hong Kong Enterprise Cyber Security Readiness Index and AI Security Survey 2024 — 香港企業釣魚攻擊及員工網安意識數據,支持本地角度
- 商務用 Microsoft 365 官方網站 — 確認香港 Microsoft 365 商務頁面列出 Outlook、Exchange、Defender for Office 365 等相關產品
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







