IT之家 5 月 21 日消息，数月以来，诈骗分子一直利用一个系统漏洞，借助微软内部官方邮箱地址大肆发送垃圾邮件，该邮箱本是用于推送正规账户安全提醒的专用渠道。

目前尚不清楚诈骗分子具体是如何违规滥用这套系统的，但他们能够以新用户身份注册微软新账号，再利用相关权限冒充微软官方发送邮件，极易让民众误以为这类邮件真实可信。

截至IT之家发稿，微软似乎仍未能妥善解决这一安全漏洞。

上周，Techcrunch 编辑在多个电子邮箱中都收到了数封版式高度相似的邮件，标题附带诈骗网站链接，均伪装成微软官方邮件发来。这些制作粗糙的邮件，均由微软官方通知邮箱 msonlineservicesteam@microsoftonline.com 发出，该邮箱原本用于向用户推送双重验证码、线上账户重要风险提示等正规通知。

部分诈骗邮件的标题模仿官方风控提醒，谎称用户账户出现异常交易；还有一些邮件则诱导收件人点击正文内的网址，声称有私人留言待查看。

反垃圾邮件非营利组织 The Spamhaus Project 于当地时间周二在社交平台发文表示，其同样监测到微软账户通知邮箱被滥发垃圾邮件，此类不法行为早已持续数月之久。

该组织称：“官方自动通知系统绝不应允许出现这类肆意篡改冒用的情况”，并表示已就该漏洞问题向微软方面进行通报。

近几个月来，不法分子频繁盗用各大企业官方系统实施诈骗，这已是最新一起同类安全事件。今年早些时候，黑客入侵金融科技公司 Betterment 的业务平台，伪造虚假通知谎称用户转入加密货币即可三倍返利，借此骗取民众手中的虚拟货币，这也是十分常见的加密货币诈骗套路。

早在 2023 年，黑客也曾盗用域名服务商 Namecheap 的官方邮箱账号，批量发送钓鱼邮件，窃取用户各类账号登录凭证。

众多网友也在社交平台留言反映，多家企业的官方邮箱均已沦为诈骗工具，可见此类邮箱冒用诈骗问题并非微软独有。