Массовая Рассылка Спама От Имени Microsoft: Как Злоумышленники Используют Внутренний Адрес И Что Делать Пользователям

Ключевые выводы

• Злоумышленники используют внутренний адрес msonlineservicesteam@microsoftonline.com для массовой рассылки спама, выдавая письма за официальные уведомления Microsoft.
• Точность подмены позволяет убедить получателей в подлинности сообщений, включая коды двухфакторной аутентификации и предупреждения о подозрительных транзакциях.
• Microsoft пока не дала публичного комментария о полном решении проблемы, а организации, такие как Spamhaus, уже уведомили компанию о нарушении.

В последние месяцы киберпреступники всё чаще используют «законные» каналы компаний, чтобы обмануть пользователей. Если вы получаете письмо от Microsoft, проверьте детали, прежде чем кликать ссылки.

Что происходит: описание уязвимости

Согласно сообщениям, злоумышленники нашли способ «пользоваться» внутренним сервисом Microsoft, который обычно отправляет важные сообщения пользователям – коды двухфакторной аутентификации, оповещения о входе в аккаунт и пр.

Через эту же инфраструктуру они создают новые Microsoft‑аккаунты, будто это новые клиенты, а затем используют их для рассылки писем, которые выглядят точно так же, как официальные. В письмах часто указывается ссылка на поддельный сайт, где от вас могут потребовать ввести пароль или другую конфиденциальную информацию.

Самый часто встречающийся отправитель – msonlineservicesteam@microsoftonline.com. Этот адрес в обычных условиях используется только для официальных уведомлений, поэтому многие пользователи автоматически доверяют письмам, пришедшим от него.

Примеры тем писем: «Подтверждение подозрительной операции», «У вас есть личное сообщение», «Необходимо немедленно обновить безопасность аккаунта». Такие заголовки точно копируют стиль оригинальных уведомлений Microsoft, что делает фишинг особенно опасным.

Как злоумышленники могут это делать

Точных технических деталей пока нет, но предполагается, что они используют уязвимость в автоматизированных системах отправки уведомлений, где допускается «кастомизация» контента без достаточной проверки источника. По словам антивирусного проекта Spamhaus, подобные рассылки наблюдаются уже несколько месяцев.

Они могут:

• Создавать новые Microsoft‑аккаунты через публичные формы регистрации, маскируясь под новых клиентов.
• Получать доступ к API отправки уведомлений, которое обычно предназначено только для внутренних сервисов.
• Вставлять произвольный текст и ссылки в шаблоны «официальных» писем.

Именно такая «гибкость» позволяет им отправлять сотни, а то и тысячи спам‑письем в день, пока система не обнаружит аномалию.

История подобных атак

Случай с Microsoft — не первый. В начале 2023 года злоумышленники получили доступ к почтовому сервису Namecheap и отправляли фишинговые письма, маскируясь под официальные сообщения о доставке MetaMask и DHL. В январе 2026 года хакеры взломали платформу финтех‑компании Betterment, рассылали уведомления о «трёхкратном увеличении» криптовалютных вложений – типичная схема «ускоренного обогащения», направленная на кражу средств.

Эти инциденты показывают, что даже крупные технологические компании могут стать жертвами собственных систем, если их автоматизация недостаточно защищена.

Что делают противники: Spamhaus и Microsoft

Не‑коммерческая организация по борьбе со спамом Spamhaus уже уведомила Microsoft о злоупотреблении адресом msonlineservicesteam@microsoftonline.com. В своем посте они подчеркнули, что автоматические системы уведомлений не должны позволять такой степени «кастомизации».

Microsoft, в свою очередь, пока не дала официального комментария о решении проблемы. По словам представителя компании, запрос от СМИ был принят, но публичных заявлений нет.

Это оставляет пространство для догадок, но эксперты советуют пользователям повышать бдительность и проверять каждое сообщение, даже если оно пришло от «доверенного» адреса.

Как не стать жертвой фишинга от имени Microsoft

Самый простой способ – всегда проверять реальный домен ссылки. Официальные ссылки от Microsoft ведут на поддомены microsoft.com, *.microsoftonline.com или login.microsoftonline.com. Если ссылка выглядит подозрительно (например, содержит .xyz, .ru и т.п.), лучше открыть сайт вручную, введя адрес в браузер.

Также стоит:

• Включить двухфакторную аутентификацию (2FA) и использовать приложение‑генератор кода, а не SMS.
• Регулярно проверять историю входов в учетную запись Microsoft (раздел «Security» → «Recent activity»).
• Не вводить пароль в форму, открывшуюся после перехода по ссылке в письме – лучше зайти в аккаунт напрямую.
• Установить актуальные обновления антивируса и использовать анти‑фишинговый модуль в браузере.

Если письмо кажется слишком срочным, позвоните в службу поддержки Microsoft через официальные каналы, а не по указанному в письме номеру.

Перспективы: что может измениться в будущем

Ожидается, что Microsoft усилит контроль над своими внутренними сервисами отправки уведомлений, введет более строгие проверки контента и ограничит возможность создания новых аккаунтов без дополнительной верификации. Также возможно, что будут внедрены подписи DKIM/DMARC для всех автоматических писем, чтобы получатели могли проверять подлинность сообщений.

Для пользователей самое важное – сохранять критическое мышление и регулярно обучаться новым тактикам фишинга. Чем быстрее вы поймете, что письмо выглядит «не так», тем меньше шансов стать жертвой.

Справка

Microsoft Corporation – американская технологическая компания, основанная в 1975 году Биллом Гейтсом и Полом Алленом. Известна своими ОС Windows, офисным пакетом Office и облачными сервисами Azure. Сегодня Microsoft обслуживает более миллиарда активных устройств по всему миру.

Spamhaus Project – международная некоммерческая организация, занимающаяся выявлением и блокировкой спама. Создана в 1998 году, поддерживает базу данных IP‑адресов и доменов, связанных со спам‑рассылками.

msonlineservicesteam@microsoftonline.com – внутренний адрес Microsoft, используемый для отправки системных уведомлений пользователям (коды 2FA, предупреждения о входах, оповещения о безопасности).

Two‑Factor Authentication (2FA) – метод защиты аккаунтов, требующий второго фактора подтверждения (например, код из приложения) помимо пароля.

Phishing (фишинг) – вид кибер‑мошенничества, при котором обманом заставляют жертву раскрыть конфиденциальные данные, часто через поддельные письма или сайты.

Если даже официальные адреса могут быть подделаны, единственное, что в нашей власти – это проверка и осторожность. Не спешите кликать, проверьте источник, и ваш аккаунт останется в безопасности.