Microsoft Sextortion Scam spiegato: no, non hanno informazioni compromettenti su di te
Tattiche intelligenti: gli hacker sfruttano il portale di amministrazione di Microsoft 365 per truffe di sextortion
I criminali informatici hanno ideato un metodo ingegnoso per aggirare i filtri antispam e inviare e-mail di sextortion direttamente a caselle di posta in arrivo ignare sfruttando il portale di amministrazione di Microsoft 365. Utilizzano il centro messaggi di Microsoft 365, una piattaforma solitamente riservata agli aggiornamenti di servizio legittimi, per diffondere i loro messaggi ingannevoli. Sfruttando la sua funzione “Condividi”, questi hacker creano l’illusione che le loro comunicazioni siano aggiornamenti autentici di Microsoft.
Svelato il piano di sextortion
Il contenuto di queste email truffa è inquietante; spesso affermano che il tuo dispositivo è stato compromesso e che il mittente possiede materiale incriminante, come video o immagini di te in situazioni delicate. I truffatori richiedono il pagamento in Bitcoin, minacciando di rilasciare questo presunto materiale se le loro richieste non saranno soddisfatte. L’uso di un indirizzo email Microsoft legittimo aggiunge un livello di autenticità, rendendo le minacce più credibili.
Bypassare le misure di sicurezza
Ciò che distingue queste e-mail è la loro capacità di eludere le tradizionali misure di sicurezza delle e-mail. In genere, tali truffe verrebbero rilevate e segnalate dai filtri antispam. Tuttavia, poiché questi messaggi provengono da un indirizzo Microsoft verificato, in particolare o365mc@microsoft.com , eludono il rilevamento. Questa astuta manipolazione della fiducia aggiunge un livello significativo di pericolo alla situazione.
Sfruttamento delle vulnerabilità tecniche
Gli aggressori hanno sfruttato il campo “Messaggio personale” all’interno delle capacità di condivisione del Microsoft 365 Message Center. Progettato per consentire brevi note esplicative, questo campo di solito supporta un massimo di 1.000 caratteri. Tuttavia, gli hacker hanno trovato un modo per manipolare l’ attributo maxlength nell’elemento textarea HTML utilizzando gli strumenti di sviluppo del browser, consentendo loro di superare questo limite. Di conseguenza, possono includere lunghi messaggi di sextortion che vengono elaborati e inviati senza alcuna troncatura.
Supervisione della sicurezza e consapevolezza dell’utente
Questa situazione solleva serie preoccupazioni riguardo ai protocolli di sicurezza di Microsoft, poiché mina il principio fondamentale della sicurezza informatica di “Non fidarti mai dell’input dell’utente”. L’affidamento alle convalide lato client, come i limiti di caratteri, si rivela insufficiente quando i controlli lato server sono assenti. Pertanto, il sistema di posta elettronica elabora e invia inconsapevolmente i messaggi di truffa modificati.
Riconoscere la minaccia
Nonostante le tattiche intelligenti impiegate da questi truffatori, è fondamentale che gli utenti riconoscano queste e-mail come tentativi fraudolenti. Come riportato da Bleeping Computer , Microsoft sta attualmente indagando su questo grave problema. Tuttavia, non sono ancora state implementate misure preventive efficaci lato server per combattere questo abuso.
L’ascesa delle truffe avanzate di sextortion
Un esempio inquietante di e-mail di sextortion è stato recentemente condiviso sul forum Microsoft Answers, in cui il messaggio conteneva strani simboli e informazioni personali come la data di nascita del destinatario, aumentandone la credibilità. L’e-mail minacciava la pubblicazione di presunti filmati inappropriati a meno che non fosse stato effettuato un pagamento in Bitcoin entro 48 ore.
Sebbene gli schemi di sextortion non siano una novità, si sono evoluti in operazioni più sofisticate. Una parte significativa di queste truffe è orchestrata da gruppi noti, come gli “Yahoo Boys” dell’Africa occidentale, noti per condividere guide didattiche su piattaforme come TikTok e YouTube, prendendo di mira specificamente adolescenti e giovani adulti su piattaforme di social media come Instagram e Snapchat.
Lascia un commento