El portal de administración de Microsoft 365 se está utilizando indebidamente para enviar correos electrónicos de sextorsión, haciendo que los mensajes parezcan confiables y eludiendo las plataformas de seguridad del correo electrónico.
Los correos electrónicos de sextorsión son estafas que afirman que su computadora o dispositivo móvil ha sido pirateado para robar imágenes o videos suyos realizando actos sexuales. Luego, los estafadores piden un pago de entre 500 y 5.000 dólares para evitar que compartan las fotos comprometedoras con familiares y amigos.
Aunque uno pensaría que nadie caería en estas estafas, fueron muy rentables cuando aparecieron por primera vez en 2018, generando más de $50,000 por semana. Hasta el día de hoy, BleepingComputer continúa recibiendo mensajes de personas afectadas después de recibirlos.
Desde entonces, los estafadores han creado muchas variaciones de estafas por correo electrónico, incluidas aquellas que afirman haber sorprendido a su cónyuge engañándole o incluyen fotos de tu casa para asustarte y hacerte pagar al extorsionador en Bitcoin.
Sin embargo, las plataformas de seguridad del correo electrónico se han vuelto buenas para detectar estos correos electrónicos fraudulentos y, por lo general, los ponen en cuarentena en la carpeta de correo no deseado.
Abuso del portal de administración de Microsoft 365 con fines de estafa
Durante la semana pasada, la gente en LinkedIn, incógnitay el Foro de respuestas de Microsoft informó haber recibido correos electrónicos de sextorsión a través del Centro de mensajes de Microsoft, lo que permitió que las estafas eludieran los filtros de spam y llegaran a la bandeja de entrada.
“Ayer recibí un correo electrónico de estafa de extorsión. Estos elementos generalmente terminan en basura/spam, pero este pasó los filtros porque fue enviado desde el Centro de mensajes de Microsoft 365.
“¿Alguna idea sobre cómo habrían logrado hacer eso?”, Preguntó el profesional de ciberseguridad Edwin Kwan.
Fuente: Edwin Kwan
Los correos electrónicos de sextorsión provienen de “o365mc@microsoft.com”, que puede parecer una dirección de phishing pero en realidad es Dirección de correo electrónico legítima de Microsoft Se utiliza para enviar mensajes y notificaciones desde el centro de mensajes de Microsoft 365.
Para aquellos que no están familiarizados con el portal de administración de Microsoft 365, incluye una sección llamada “Centro de mensajes”, que contiene comunicaciones de Microsoft sobre avisos de servicio, nuevas características y próximos cambios.
Al ver una reseña, un enlace “Compartir” le permite compartir la reseña con otras personas, como se muestra a continuación.
Fuente: BleepingComputer
Al hacer clic en el botón Compartir, se abre un cuadro de diálogo que le solicita que ingrese hasta dos direcciones de correo electrónico a las que se debe enviar el aviso, ya sea externa o interna de su organización.
Esta pantalla también incluye un “Mensaje personal” opcional, que se agregará a la notificación por correo electrónico.
Fuente: BleepingComputer
Los actores de amenazas abusan de la función de mensajes personales usándola para enviar un mensaje de sextorsión. Sin embargo, este campo de mensaje personal está limitado a solo 1000 caracteres y la interfaz de usuario trunca cualquier contenido adicional.
Dado que el mensaje de extorsión enviado por los estafadores tiene más de 1000 caracteres, me pregunto cómo evitan esta restricción.
La respuesta es sencilla. Simplemente abren las herramientas de desarrollo del navegador y cambian el campo de longitud máxima de etiqueta.
Este cambio ahora les permite ingresar el mensaje de sextorsión completo en el campo “Mensaje personal” sin que se trunque.
Fuente: BleepingComputer
Debido a que Microsoft no realiza comprobaciones del lado del servidor para determinar la longitud de los caracteres, el mensaje de extorsión completo ahora se envía con la notificación.
Es probable que los estafadores utilicen un proceso automatizado para enviar estas solicitudes de “Compartir”, lo que facilita aún más el envío sin verificación por parte del servidor de la longitud del mensaje personal.
BleepingComputer se puso en contacto con Microsoft sobre estas estafas y le dijeron que están investigando la actividad maliciosa.
“Gracias por informarnos sobre esto. Nos tomamos muy en serio la seguridad y la privacidad”, dijo Microsoft a BleepingComputer.
“Estamos investigando estos informes y tomaremos medidas para ayudar a proteger a nuestros clientes”.
Por ahora, Microsoft no ha agregado controles del lado del servidor para evitar mensajes de más de 1000 caracteres, según mostraron las pruebas de BleepingComputer.
Aunque esta técnica ha permitido que los correos electrónicos de sextorsión eviten los filtros de correo electrónico, cualquiera que los reciba debe comprender que son solo una estafa y eliminarlos.
Afortunadamente, las estafas de sextorsión se han vuelto tan abundantes en los últimos seis años que la mayoría de las personas se dan cuenta de que son estafas y eliminan este tipo de correos electrónicos.
Sin embargo, para quienes no están familiarizados, estos correos electrónicos pueden resultar angustiosos y aterradores.
Por lo tanto, es importante señalar que estos correos electrónicos son estafas, no dicen la verdad y no debe visitar ningún enlace contenido en estos correos electrónicos ni enviar dinero a las direcciones de criptomonedas enumeradas.