Het Microsoft 365 Admin Portaal wordt misbruikt om sextortion-e-mails te versturen, waardoor de berichten betrouwbaar lijken en e-mailbeveiligingsplatforms omzeild worden.

Sextortion-e-mails zijn oplichting waarbij wordt beweerd dat je computer of mobiele apparaat is gehackt om beelden of video’s van jou te stelen terwijl je seksuele handelingen uitvoert. De oplichters vragen vervolgens een betaling van $500 tot $5.000 om te voorkomen dat ze de compromitterende foto’s met je familie en vrienden delen.

Hoewel je zou denken dat niemand in deze scams zou trappen, waren ze zeer winstgevend toen ze voor het eerst in 2018 verschenen en meer dan $50.000 per week opleverden. Tot op de dag van vandaag blijft BleepingComputer berichten ontvangen van mensen die bezorgd zijn na het ontvangen ervan.

Sindsdien hebben oplichters talloze varianten van afpersingse-mails gecreëerd, waaronder varianten waarbij ze beweren je partner te hebben betrapt op vreemdgaan of foto’s van je huis bevatten om je bang te maken en de afperser in Bitcoin te betalen.

Echter, e-mailbeveiligingsplatforms zijn goed geworden in het detecteren van deze oplichtingsmails en plaatsen ze meestal in de spammap.

Misbruik van het Microsoft 365 Admin Portaal voor oplichting

Afgelopen week meldden mensen op LinkedIn, X en het Microsoft Answers-forum dat ze sextortion-e-mails ontvingen via het Microsoft Message Center, waardoor de scams spamfilters omzeilden en in de inbox terechtkwamen.

“Ik ontving gisteren een afpersingsmail. Deze dingen eindigen meestal in ongewenste mail/spam, maar deze kwam door de filters omdat hij was verzonden via het Microsoft 365 Message Center.

“Iemand enig idee hoe ze dit voor elkaar hebben gekregen?” vroeg cybersecurity professional Edwin Kwan.

De sextortion-e-mails kwamen van “o365mc@microsoft.com,” wat kan aanvoelen als een phishing-adres, maar is eigenlijk het legitieme e-mailadres van Microsoft dat wordt gebruikt om berichten en meldingen vanuit het Microsoft 365 Message Center te verzenden.

Voor degenen die niet bekend zijn met het Microsoft 365 Admin Portaal bevat deze een sectie genaamd het “Message Center,” dat communicatie van Microsoft bevat over serviceadviezen, nieuwe functies en aankomende wijzigingen.

Wanneer je een advies bekijkt, stelt een “Deel”-link je in staat om het advies met andere mensen te delen, zoals hieronder wordt weergegeven.

Wanneer je op de Deel-knop klikt, opent zich een dialoogvenster waarin je maximaal twee e-mailadressen moet invoeren waarnaar het advies moet worden verzonden, ongeacht of ze extern of intern binnen je organisatie zijn.

Dit scherm bevat ook een optioneel “Persoonlijk Bericht,” dat wordt toegevoegd aan het gemailde advies.

De kwaadwillende actoren misbruiken de functie Persoonlijk Bericht door deze te gebruiken om het sextortion-bericht te versturen. Echter, dit persoonlijk berichtveld is beperkt tot slechts 1.000 tekens, waarbij alles wat meer is wordt ingekort door de gebruikersinterface.

Aangezien het afpersingsbericht dat door de oplichters wordt verstuurd veel meer dan 1.000 tekens bevat, vroeg ik me af hoe ze deze beperking omzeilden.

Het antwoord is eenvoudig. Ze openen gewoon de ontwikkelaarstools van de browser en veranderen het veld maximale lengte van de -tag naar een willekeurig aantal van hun keuze.

Deze wijziging stelt hen nu in staat om het gehele sextortion-bericht in het “Persoonlijk Bericht”-veld in te voeren zonder dat het wordt ingekort.

Aangezien Microsoft geen server-side controles uitvoert op de lengte van tekens, wordt het gehele afpersingsbericht nu samen met het advies verzonden.

De oplichters gebruiken waarschijnlijk een geautomatiseerd proces om deze “Deel”-verzoeken in te dienen, waardoor het nog gemakkelijker is om te verzenden zonder een server-side controle voor de lengte van het persoonlijke bericht.

BleepingComputer heeft contact opgenomen met Microsoft over deze scams en werd verteld dat zij het kwaadaardige gedrag onderzoeken.

“Dank u voor het onder de aandacht brengen van dit probleem. We nemen beveiliging en privacy zeer serieus,” vertelde Microsoft aan BleepingComputer.

“We onderzoeken deze meldingen en zullen maatregelen nemen om onze klanten te beschermen.”

Op dit moment heeft Microsoft geen server-side controles toegevoegd om berichten van meer dan 1.000 tekens te voorkomen, zo bleek uit tests van BleepingComputer.

Hoewel deze techniek de sextortion-e-mails toestaat om mailfilters te omzeilen, moet iedereen die ze ontvangt begrijpen dat het gewoon scams zijn en deze verwijderen.

Gelukkig zijn sextortion-scams de afgelopen zes jaar zo talrijk geworden dat de meeste mensen zich realiseren dat het om oplichting gaat en deze e-mails verwijderen.

Echter, voor degenen die het niet kennen, kunnen deze e-mails verontrustend en eng zijn.

Daarom is het belangrijk te benadrukken dat deze e-mails scams zijn, ze niet de waarheid vertellen en je geen links in deze e-mails moet bezoeken of geld moet sturen naar de vermelde cryptocurrency-adressen.