स्कैमर Microsoft के आंतरिक अकाउंट का दुरुपयोग कर स्पैम लिंक भेज रहे हैं

 (techcrunch.com)
1 पॉइंट द्वारा GN⁺ 3 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • कई महीनों से ठग Microsoft के आंतरिक ईमेल पते का दुरुपयोग कर ऐसे स्पैम ईमेल भेज रहे हैं जो वैध अकाउंट अलर्ट जैसे दिखते हैं
  • संबंधित sender address msonlineservicesteam@microsoftonline.com है, जो मूल रूप से 2-step verification code जैसे महत्वपूर्ण account alerts के लिए इस्तेमाल किया जाने वाला आधिकारिक चैनल है
  • ठग नए Microsoft account बनाकर system loophole का दुरुपयोग कर रहे हैं, लेकिन bypass का सटीक तरीका अभी स्पष्ट नहीं है
  • anti-spam non-profit The Spamhaus Project ने कई महीने पहले से इसी तरह के दुरुपयोग को देखा था और Microsoft को इसकी सूचना दी
  • Microsoft phishing reports की जांच और कार्रवाई कर रहा है, साथ ही detection/blocking mechanisms मजबूत कर रहा है और terms of service का उल्लंघन करने वाले accounts हटा रहा है

घटना का सार

  • कई महीनों से ठग Microsoft के वैध account notification भेजने वाले आंतरिक email address के जरिए spam mail भेजने वाली कमजोरी का दुरुपयोग कर रहे हैं
  • ठग नए Microsoft account बनाकर खुद को नए ग्राहक जैसा दिखाते हैं, और उसी access के जरिए Microsoft के नाम से email भेज पा रहे हैं
  • इससे recipients के ईमेल को असली notification समझ लेने का खतरा है
  • Microsoft अब तक इस समस्या पर पूरी तरह नियंत्रण नहीं पा सका है

भेजे गए स्पैम ईमेल की विशेषताएं

  • पिछले हफ्ते TechCrunch के एक reporter को कई email accounts पर इसी तरह की संरचना वाले कई spam emails मिले
    • सभी msonlineservicesteam@microsoftonline.com पते से भेजे गए थे
    • यह पता Microsoft द्वारा 2-step verification code और online account से जुड़े महत्वपूर्ण alerts भेजने के लिए इस्तेमाल किया जाने वाला आधिकारिक account है
  • ईमेल subject और content की बनावट
    • कुछ emails ने fraud transaction alert जैसे दिखने वाले आधिकारिक email subject format की नकल की
    • अन्य emails ने दावा किया कि body में दिए गए web address पर "एक निजी संदेश आपका इंतजार कर रहा है"
    • ईमेल बहुत ही भद्दे तरीके से बनाए गए थे (crudely made)

Spamhaus Project की टिप्पणियां

  • anti-spam non-profit The Spamhaus Project ने मंगलवार को social post के जरिए पुष्टि की कि उसने यही दुरुपयोग देखा है
    • उसने देखा कि Microsoft के account notification email address का spam भेजने में दुरुपयोग "कई महीनों" से जारी है
  • Spamhaus: "Automated notification systems को इस स्तर की customization की अनुमति नहीं देनी चाहिए"
  • संगठन पहले ही Microsoft को इस समस्या की सूचना दे चुका है

Microsoft की प्रतिक्रिया

  • सप्ताह की शुरुआत में जब TechCrunch ने Microsoft से संपर्क किया, तब कंपनी ने सिर्फ inquiry मिलने की पुष्टि की और deadline तक कोई जवाब नहीं दिया
  • लेख प्रकाशित होने के बाद बाहरी PR agency के जरिए Emelia Katon ने Microsoft का आधिकारिक बयान साझा किया
    • "हम phishing reports पर सक्रिय रूप से जांच और कार्रवाई कर रहे हैं और customers की सुरक्षा के लिए काम कर रहे हैं"
    • detection और blocking mechanisms को मजबूत किया जा रहा है
    • terms of service का उल्लंघन करने वाले accounts को हटाने का काम भी साथ चल रहा है

इसी तरह के दुरुपयोग के मामले

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 3 시간 전
Hacker News की राय

  • यह कैसे तय किया जाए कि microsoftonline.com सचमुच असली है। Microsoft का domain management इतना बिखरा हुआ है कि अगर उनके पास अंदरूनी तौर पर भी अपने पूरे domain assets की पूरी सूची न हो, तो भी मुझे हैरानी नहीं होगी
    कंपनियाँ spam पहचानने के लिए domain verify करने पर ज़ोर देती हैं, लेकिन विडंबना यह है कि वे आधिकारिक तौर पर मेल भेजने वाले सभी domains की सूची तक प्रकाशित नहीं कर पातीं

    • शायद बात यह है कि Microsoft ने office.com जैसे पढ़ने और याद रखने में आसान domain से हटकर m365.cloud.microsoft जैसे अजीब दिखावटी domain पर जाना शुरू कर दिया है
    • थोड़ा अलग मामला है, लेकिन भारत में हर बार insurance renewal के समय मुझे रोज़ कम से कम 12 bank scam calls आते थे. काश banks अपने official phone numbers प्रकाशित करें और कर्मचारियों को सिर्फ official numbers से ही कॉल करने के लिए बाध्य करें, लेकिन हाल में regulator ने वास्तव में ऐसा कर दिया, इसलिए banks अब customer contact के लिए सिर्फ 1600 numbers का इस्तेमाल कर सकते हैं
      उसके बाद bank scam calls शून्य हो गईं
    • Bluesky इससे भी बदतर है, क्योंकि कुछ emails moderation@blueskyweb.xyz से आती हैं
      खासकर जब वे ID जैसी चीज़ें उसी पते पर भेजने को कहते हैं, तो उन्हें यह समझाने के लिए पोस्ट भी लिखनी पड़ी कि यह scam नहीं है: https://bsky.app/profile/safety.bsky.app/post/3ljp6zi7tp227
    • ऊपर से emails में links को click-tracking domains के भीतर wrap किया जाता है, और कभी-कभी वह domain Mailgun जैसी किसी ऐसी सेवा का होता है जिसका कंपनी से सीधा कोई संबंध नहीं होता
      इसलिए आप जिस link पर क्लिक करने वाले हैं उसे खुद जाँचें तब भी, वैध email होने के बावजूद वह किसी scammy domain पर जाता हुआ लग सकता है
    • मैंने यूँ ही सबसे पहले दिमाग में आए नाम देखे, तो internalmicrosoft.com और microsoftinternal.com अभी भी register किए जा सकते थे. अगर misuse की गुंजाइश इतनी ज़्यादा है, तो लगता है कि वे अपने official domain set को कहीं ज़्यादा सख्ती से संभालना चाहेंगे

  • आधा-संबंधित बात, Microsoft security वाकई बहुत खराब है
    पूरे पिछले हफ्ते Microsoft Authenticator मुझे बार-बार यह बताता रहा कि अलग-अलग जगहों से login attempts हो रहे हैं, लेकिन login history page पूरी तरह खाली था. यहाँ तक कि मेरे अपने logins भी नहीं दिख रहे थे
    कोई सोच सकता है कि password leak हो गया होगा, लेकिन ऐसा नहीं है. app के साथ enabled default login flow email + Authenticator है, और password की ज़रूरत ही नहीं पड़ती. और भी बेहूदा बात यह है कि इस option को app में बदला भी नहीं जा सकता
    Microsoft को समझना चाहिए कि वह account अब तक सिर्फ इसलिए मौजूद है क्योंकि उन्होंने Minecraft को acquire किया था, और उन्हें मेरी ज़िंदगी बेवजह मुश्किल नहीं बनानी चाहिए

    • Microsoft के पास एक शानदार feature यह भी है कि अगर कोई account login बहुत बार fail करे, तो account lock हो जाता है और सही password होने पर भी password reset माँगता है
      password बदलने के बाद भी मैं फ़ोन पर उस email में login नहीं कर सका, तो मैंने बस हार मान ली. वैसे भी मैं वह email कुछ ही कामों के लिए इस्तेमाल करता हूँ
    • मुझे लगा था कि शायद ऐसा सिर्फ तब होता है जब पुराने session cookies browser में हों या IP बदला न हो
      संपादन: नए IP और Firefox private window से खुद करके देखा, और हाँ, यही सही निकला. email डालने के बाद app notification चुन सकते हैं
    • मेरे साथ भी यही हुआ. Authenticator “login approved” जैसा कुछ कहकर confirmation माँगता है, लेकिन security page में देखने पर कोई record ही नहीं होता
      पहले तो मैं डर गया और जितनी security settings मिल सकीं सब खंगाल डालीं, लेकिन ऐसा लगा जैसे कुछ हुआ ही नहीं
      दूसरी बार से मैंने इसे बस ignore किया, लेकिन बेचैनी रहती है. default Authenticator flow में गलती से सही number दबा देने की संभावना भी होती है
    • कुछ महीनों से मेरे साथ भी यही हो रहा था, और email address बदलते ही notifications बंद हो गईं
      असल में मैंने सिर्फ alias बदला था, जो पहले की ही mailbox की ओर जाता था
    • वही कंपनी SMS 2FA बंद करके लोगों को अपनी खराब Authenticator app इस्तेमाल करने पर मजबूर करना चाहती है

  • हमारी company का domain m से शुरू होता है. हाल में कई लोग rn से शुरू होने वाले domain के phishing mails का शिकार हुए, क्योंकि Outlook font में दोनों लगभग एक जैसे दिखते हैं

  • मैंने पहले Booking पर hotel book किया था, और फिर Booking site domain email तथा DM के ज़रिए hotel की ओर से आया हुआ लगने वाला phishing attempt मिला
    उस समय देखने पर लगा कि यह hotel account compromise का मामला कम और Booking की किसी messaging/email endpoint के इसी तरह abuse होने का मामला ज़्यादा था
    पता नहीं यह वही प्रकार है या नहीं, लेकिन दिलचस्प है, खासकर यह कि Microsoft को पहले ही report किया गया था और फिर भी कोई कार्रवाई नहीं हुई

    • मैंने जितने भी PayPal जैसे मामले देखे हैं, वे सब hotel email या Booking account compromise के कारण थे
      guest के तौर पर hotel systems से malware या remote access tools हटाने में “मदद” मैंने दस बार से भी ज़्यादा की है

  • मुझे तो साफ़ समाधान यही लगता है कि कंपनियाँ लाख अलग-अलग domains बनाने के बजाय internal.microsoft.com जैसे subdomains इस्तेमाल करें, लेकिन यह सोचकर कड़वाहट होती है कि यहाँ तक कि इस चर्चा में भी कोई वह बात नहीं उठा रहा, यानी हम वास्तविकता से कितने दूर हैं

    • उनके पास .microsoft भी है, फिर भी वे ऐसा क्यों करते हैं समझ नहीं आता
    • सही बात है
      पहले एक बार किसी German government agency ने हमारी company को data export के लिए पत्र भेजा और कहा कि उसे findrive-ni.de पर upload करें
      वह वास्तव में वैध था, लेकिन न तो वह Niedersachsen state domain का subdomain था और न ही official site पर कहीं उसका reference था

  • मुझे रोज़ाना Google servers से 20~30 spam mails मिलते हैं. मज़े के लिए मैं उन्हें अलग SPAM folder में sort कर रहा हूँ
    समझ नहीं आता किससे संपर्क करूँ, Google को यह रुकवाने के लिए क्या करूँ, या service abuse कहाँ report करूँ. पूरी service लगभग एक विशाल “दूर रहो, हमसे संपर्क मत करो” जैसी लगती है
    सोचता हूँ क्या मुझे भी इस पर कोई post publish करनी चाहिए ताकि वह यहाँ HN तक पहुँचे. शायद तभी Google के किसी व्यक्ति को देखने की प्रेरणा मिले

    • मैं भी एक बार उस rabbit hole में उतर चुका हूँ. जितने abuse reporting channels मिले, सब आज़माए
      network-abuse@ आपको Google Cloud abuse reporting form पर भेजता है, और वहाँ से जवाब आता है कि “report में बताए गए IP Google Cloud पर hosted नहीं हैं, इसलिए हम कार्रवाई नहीं कर सकते”
      Gmail abuse report का तो जवाब भी नहीं आता. आख़िर में मैंने Rspamd में Firebase-संबंधित DKIM identifiers block कर दिए
    • यहाँ कोशिश कर सकते हैं: https://support.google.com/mail/contact/abuse?hl=en
      पिछले हफ्ते मैंने phishing emails भेजने वाले account को submit किया था, लेकिन मुझे बताया गया कि यह लगभग black hole है, इसलिए कुछ होने की उम्मीद मत रखो

  • Meta में भी Business Manager की किसी feature में ऐसा ही bug था, या शायद अभी भी है. attacker initial body text को पूरी तरह control कर सकता है, इसलिए चीज़ें बहुत convincing लगती हैं
    मैंने इसे report करने की कोशिश की, लेकिन पूरी मेहनत बेकार गई. bug bounty spam इतना ज़्यादा है कि security submission process कभी-कभी सचमुच की समस्याओं को भी छाँटकर बाहर कर देता लगता है

    • मुझे ऐसे mails इतने लंबे समय से मिल रहे हैं कि मैंने सोचना शुरू कर दिया था कि क्या मैं अकेला target हूँ और यह widespread issue नहीं है. क्योंकि Meta की ओर से कोई कार्रवाई होती ही नहीं दिखी
      mails सचमुच noreply@business.facebook.com से आते हैं, और उनमें नीचे जैसा text होता है. यह समझना लगभग पहेली है कि कौन-सा हिस्सा Meta template है और कौन-सा हिस्सा user-input text का रचनात्मक दुरुपयोग
      Your Meta's Page may be at risk due to unusual activity...
      Your Page is under restriction review Contact Meta Support: metafanpageviolate@gmail.com ...

  • क्या PayPal में भी ऐसा ही कुछ हो रहा है? मुझे PayPal domain से आए हुए लगने वाले emails मिल रहे हैं, लेकिन वे साफ़ तौर पर scam हैं

    • मैंने जो PayPal cases देखे हैं, उनमें आम तौर पर बड़े amount का money request भेजा जाता है, और reason लिखने वाले free-form field में यह fake message डाला जाता है कि “अगर आपको लगता है कि यह scam है तो [असल में scam number] पर कॉल करें”

  • हाल में Google MX servers से बहुत spam आने लगा था, लेकिन X-Google-Group-Id header वाले सभी mails block करने के बाद वह रुक गया
    यह कैसे संभव है मुझे नहीं पता, लेकिन content 100% spammer-controlled था और उसमें कोई Google template नहीं था

  • पहले मुझे @akamai.com से आया हुआ Coinbase scam mail मिला था
    लगता है Akamai द्वारा acquire की गई किसी company की SPF setting गलत configured थी