В марте Microsoft подтвердила, что их системы были взломаны с целью кражи различной информации, включая данные о клиентах компании.
Спустя несколько месяцев Microsoft все еще уведомляет пострадавших клиентов, и, похоже, этот процесс идет не очень гладко. Эксперты критикуют компанию за отправку писем, которые выглядят как спам или даже фишинговые атаки.
Кевин Бомонт, бывший сотрудник Microsoft и ныне исследователь в области кибербезопасности, который внимательно следит за деятельностью компании, предупреждает организации быть внимательными к этим уведомлениям от Microsoft.
«Произошла утечка данных, затронувшая информацию клиентов, и Microsoft не следовала стандартному процессу уведомления клиентов о нарушении данных. Уведомления не отображаются в портале, а были отправлены администраторам арендаторов по электронной почте», — написал Бомонт на своей странице в LinkedIn. «Эти письма могут попасть в спам, а учетные записи администраторов арендаторов должны быть безопасными и не иметь электронной почты. Также они не информировали организации через менеджеров аккаунтов. Вам нужно проверить все письма, начиная с июня. Это широко распространено».
Одной из основных проблем с уведомительным письмом Microsoft является то, что оно включает «защищенную ссылку» на домен, который никак не связан с Microsoft. Вместо этого письмо содержит ссылку на: «purviewcustomer.powerappsportals.cоm».
«Фактически, критическое уведомление выглядит как фишинговая атака», — написал один пользователь на X.
Эта ссылка была отправлена на проверку на urlscan.io, сайт, который помогает обнаруживать подозрительные ссылки, более ста раз. Это говорит о том, что многие организации восприняли это официальное письмо от Microsoft как подозрительное.
Сообщения на urlscan.io также свидетельствуют о том, что многие компании пострадали от этой утечки данных. Американское агентство кибербезопасности CISA ранее сообщало, что злоумышленники также украли электронные письма нескольких федеральных агентств.
Помимо предупреждений Бомонта, есть некоторые доказательства того, что клиенты Microsoft действительно сбиты с толку. На портале поддержки Microsoft один из клиентов поделился письмом, которое получила их организация, пытаясь выяснить, было ли оно подлинным письмом от Microsoft.
«Это письмо вызывает у меня несколько подозрений: запрос TenantID и по сути административных или высокоуровневых адресов электронной почты, скудная страница powerapps и быстрый поиск в Google, не дающий никаких результатов, связанных с заголовком этого письма или его содержанием», — написал человек. «Может ли кто-нибудь подтвердить, что это подлинное письмо от Microsoft?»
Комментируя пост Бомонта в LinkedIn, консультант по кибербезопасности сообщил, что «несколько» его клиентов получили это письмо, и «все они были обеспокоены тем, что это фишинговая атака».
«На первый взгляд, это письмо не вызывало доверия у получателей, которые начали спрашивать на форумах или обращаться к менеджерам по работе с клиентами Microsoft, чтобы в конце концов подтвердить, что письмо было подлинным… странный способ для такого поставщика сообщить о важной проблеме потенциально пострадавшим клиентам», — написал консультант.
Представители Microsoft не ответили на запрос TechCrunch о том, сколько организаций было уведомлено и планирует ли компания изменить способ уведомления пострадавших клиентов.
Важно повышать осведомленность о безопасности в организации и быть особенно внимательными к неожиданным письмам, даже если они кажутся официальными. В таких ситуациях проверка подлинности писем через различные каналы может помочь избежать потенциальных угроз.
