Експерти по киберсигурност разкриха сложна кампания за измама, която успешно е откраднала инфраструктурата на Microsoft и заблуждава дори внимателни потребители. Зломишлениците се възползват от пропуск в Microsoft Power BI, за да изпращат измамни имейли директно от официалния, доверен адрес: no-reply-powerbi@microsoft.com. Тъй като Microsoft изрично препоръчва този адрес да бъде включен в белия списък, за да не се пропуснат бизнес анализи, тези имейли с лекота заобикалят съвременните спам филтри.
Измамниците създават табло в Power BI и добавят имейла на жертвата като „абонат“. След това системата Power BI автоматично генерира уведомление от истинските сървъри на Microsoft. Тъй като създателят на таблото може да персонализира полето „Съобщение“, той вмъква финансови предупреждения с висока степен на спешност – от фактури на PayPal за 399 долара до покупки на Bitcoin за 600 долара. За разлика от традиционния измами, често няма злонамерени връзки, вместо това имейлите предоставят телефонен номер на „Служба за поддръжка“, който води жертвите в гласова капан, където те биват принудени да инсталират софтуер за отдалечен достъп.
Microsoft отговори на този проблем, като въведе няколко спешни мерки. От края на януари Microsoft временно ограничи възможността на Power BI да изпраща имейли за абонаменти до външни домейни. Сега услугата поставя пред всички персонализирани теми задължителния етикет „Доставка на абонамент за отчет на Power BI“, за да предупреди потребителите, че имейлът е уведомление от инструмента, а не сметка за плащане.
Докато „Power BI Patch“ е в процес на разработка, измамата се премести и в Microsoft Entra ID (по-рано Azure AD), където атакуващите злоупотребяват с кодовете за проверка, за да изпращат подобни фалшиви предупреждения от msonlineservicesteam@microsoftonline.com. Това създава интересна ситуация с висока степен на спешност за потребителя – той вижда истински код за сигурност, съчетан с фалшиво предупреждение за измама.
Експертите предупреждават, че най-добрата защита е просто никога да не се обаждате на номер или да инсталирате софтуер, поискан чрез нежелан имейл, дори ако домейнът на изпращача е 100% потвърден като „Microsoft.com“.