一封来自微软官方
@microsoft.com后缀的邮件,也可能是一把精心伪装的数字鱼叉。
2026年1月28日,据安全媒体ArsTechnica报道,微软的官方企业邮箱地址遭黑客恶意滥用,被用于发送高仿真的钓鱼诈骗邮件。此次事件暴露了云服务功能可能被恶意利用的新攻击路径,对依赖官方通信的用户信任构成了直接挑战。
事件核心:被滥用的官方“信使”
遭到滥用的邮箱地址为:no-reply-powerbi@microsoft.com。根据微软官方文档,该地址是其商业智能服务 Power BI 用于向已启用邮件通知的安全组用户发送订阅通知的官方通道。为了确保这些重要通知能顺利送达,微软甚至建议用户将此地址加入邮件白名单。
然而,正是这份“官方背书”与“白名单建议”,使其成为了钓鱼攻击的绝佳伪装。多名用户报告称,近期收到了来自此地址的欺诈邮件。邮件谎称用户已被扣除399美元(约合2779元人民币) 的费用,并附上了一个所谓的“客服”电话号码,要求收件人拨打以取消交易。
攻击手法深度解析:功能滥用与社交工程
此次攻击并非简单的邮箱伪造,而是一次结合了云服务功能滥用和传统社交工程的复杂操作。
- 利用平台信任(功能滥用):
网络安全公司Proofpoint的威胁研究员Sarah Sabotka指出,攻击者很可能钻了Power BI服务一项功能的空子。该服务允许用户 “将外部邮箱地址添加为订阅者” 。研究人员推测,攻击者可能利用此功能,将恶意内容通过微软官方的邮件发送基础设施,分发给锁定的目标用户列表,从而使邮件真实地来自@microsoft.com域,绕过了常规的SPF、DKIM等反垃圾邮件校验。 - 施加心理压力(社交工程):
邮件内容精心设计,利用“意外扣费”制造用户的紧张与焦虑情绪,促使其立即采取行动,而忽略了核实真伪的步骤。 - 升级控制权限(技术支持诈骗):
当用户回拨邮件中的电话后,诈骗分子会伪装成客服人员,以“协助退款”或“检查账户”为名,诱导受害者下载并安装AnyDesk、TeamViewer等远程控制软件。一旦安装,攻击者便能完全控制受害者的Mac或Windows电脑,进而实施窃取文件、植入木马、盗取银行凭证等更严重的犯罪。
影响与现状:微软已介入调查
目前,仅在公开渠道已能追溯到十多名受害者的报告,部分投诉甚至直接提交到了微软官方支持网站。这证实了攻击并非孤立事件,而是一场小范围但精准的威胁活动。
对此,微软发言人已向媒体确认,公司已意识到该平台邮箱地址被滥用的情况,并正在展开调查,但目前没有更多信息可以分享。
给企业与个人的关键防护建议
此事件为所有邮箱用户,尤其是企业员工,敲响了高级别警钟:
对于所有个人用户:
- 保持核心原则:链接与电话勿轻信。无论发件人看起来多么可信,对于任何涉及资金、密码、个人信息变更的邮件,绝不直接点击邮件中的链接或拨打提供的电话。应通过官方应用或独立打开的官网,自行登录账户查看状态。
- 验证优于信任。收到“官方”通知时,可通过其他官方渠道(如官方App推送、官网客服)进行二次验证。
- 谨慎授权远程控制。任何情况下,都不要轻易允许陌生人远程连接你的电脑。正规的客服服务极少需要此操作。
对于企业安全团队:
- 重新评估“白名单”策略:此事件证明,将任何地址无条件加入白名单都存在风险。需要教育员工,即使邮件来自白名单地址,也需对异常内容保持警惕。
- 强化终端管控:应通过组策略等措施,限制或监控非授权远程控制软件的安装与运行。
- 关注云应用安全配置:企业IT管理员应审查并收紧如Power BI等SaaS服务中涉及外部用户通知、数据共享等功能的安全配置,遵循最小权限原则。
- 持续进行安全意识培训:需将此类“高仿真钓鱼”作为最新案例纳入培训,提升全员对利用平台信任的新型攻击的辨识能力。
总结
no-reply-powerbi@microsoft.com 被滥用事件,标志着网络钓鱼攻击进入一个更隐蔽、更难以防范的新阶段:攻击者不再单纯伪造发件人,而是开始劫持和滥用真实的、受信任的官方通信通道。
它提醒我们,在数字世界,信任可以被“武器化”。无论是个人还是企业,都必须将“零信任”原则深入骨髓——持续验证,永不盲信。在微软彻底修复此漏洞并公布更多细节前,对所有来自“官方”的财务相关邮件,请保持最高级别的审慎。
