رسائل البريد الإلكتروني التي حذرتها Microsoft العملاء من الاختراقات الروسية تم انتقادها لأنها تبدو وكأنها بريد عشوائي وتصيد احتيالي
في مارس، أكدت مايكروسوفت أن قراصنة الحكومة الروسية المعروفين باسم Midnight Blizzard (أو APT29) قد اقتحموا أنظمتها بهدف سرقة أنواع مختلفة من المعلومات، بما في ذلك البيانات الخاصة بعملاء مايكروسوفت.
وبعد أشهر، لا تزال مايكروسوفت بصدد إخطار عملائها المتأثرين، ويبدو أن العملية لا تسير على ما يرام، حيث ينتقد الخبراء مايكروسوفت لإرسالها رسائل بريد إلكتروني تبدو وكأنها بريد عشوائي، أو حتى محاولات تصيد.
حذر كيفن بومونت، وهو موظف سابق في شركة Microsoft والآن باحث في مجال الأمن السيبراني يتابع الشركة عن كثب، الشركات من مراقبة رسائل البريد الإلكتروني التي تقدمها Microsoft.
“تعرضت Microsoft لاختراق من جانب روسيا مما أثر على بيانات العملاء ولم تتبع عملية اختراق بيانات عملاء Microsoft 365. الإشعارات ليست موجودة في البوابة الإلكترونية، بل قاموا بإرسال بريد إلكتروني إلى مسؤولي المستأجرين بدلاً من ذلك. كتب بومونت على حسابه على LinkedIn. “يمكن أن تنتقل رسائل البريد الإلكتروني إلى رسائل غير مرغوب فيها – ومن المفترض أن تكون حسابات مسؤول المستأجر حسابات آمنة بدون بريد إلكتروني. كما أنهم لم يبلغوا المؤسسات عبر مديري الحسابات. تريد التحقق من جميع رسائل البريد الإلكتروني التي تعود إلى يونيو. إنه منتشر على نطاق واسع.”
إحدى المشكلات الرئيسية المتعلقة بإشعارات البريد الإلكتروني من Microsoft هي أنها تتضمن “ارتباطًا آمنًا” لمجال ليس له أي اتصال واضح بشركة Microsoft. وبدلاً من ذلك، تتضمن رسالة البريد الإلكتروني رابطًا إلى: “purviewcustomer.powerappsportals.com”.
كتب أحد الأشخاص على X: “في الأساس، يبدو التنبيه الحاسم وكأنه هجوم تصيد”.
وقد تم إرسال هذا الرابط إلى urlscan.io، وهو موقع يمكنه المساعدة في اكتشاف الروابط الضارة، أكثر من مائة مرة. يشير ذلك إلى أن هناك الكثير من المؤسسات التي شاهدت البريد الإلكتروني الرسمي الشرعي لشركة Microsoft واعتقدت أنه ضار.
اتصل بنا
هل لديك المزيد من المعلومات حول حادثة مايكروسوفت هذه؟ من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase وWire @lorenzofb أو البريد الإلكتروني. يمكنك أيضًا الاتصال بـ TechCrunch عبر SecureDrop.
تشير بيانات urlscan.io أيضًا إلى أن هناك ما لا يقل عن مائة شركة تأثرت باختراق الحكومة الروسية لشركة Microsoft. وقالت وكالة الأمن السيبراني الأمريكية CISA سابقًا إن المتسللين الروس سرقوا أيضًا رسائل البريد الإلكتروني للعديد من الوكالات الفيدرالية.
وبصرف النظر عن تحذيرات بومونت، هناك بعض الأدلة التي تشير إلى أن عملاء مايكروسوفت مرتبكون بشكل مشروع. في بوابة دعم Microsoft، شارك أحد العملاء البريد الإلكتروني الذي تلقته مؤسسته في محاولة للحصول على توضيح حول ما إذا كان بريدًا إلكترونيًا حقيقيًا من Microsoft.
“تحتوي رسالة البريد الإلكتروني هذه على العديد من العلامات الحمراء بالنسبة لي، وطلب معرف المستأجر وعناوين البريد الإلكتروني للمسؤول أو المستوى العالي بشكل أساسي، وصفحة powerapps مجردة، وبعض البحث السريع على Google لم يعثر على أي شيء متعلق بعنوان هذه الرسالة الإلكترونية أو أنها [sic] محتويات “، كتب الشخص. “هل يمكن لأي شخص أن يؤكد أن هذا طلب بريد إلكتروني شرعي من Microsoft؟”
وتعليقًا على منشور بومونت على LinkedIn، قال أحد مستشاري الأمن السيبراني إن “العديد” من عملائه تلقوا البريد الإلكتروني و”جميعهم كانوا قلقين من أنه تصيد احتيالي”.
“للوهلة الأولى، لم يبعث هذا على ثقة المستلمين، الذين بدأوا يسألون في المنتديات أو يتواصلون مع مديري حسابات Microsoft للتأكد في النهاية من شرعية البريد الإلكتروني…طريقة غريبة لموفر مثل هذا لتوصيل مشكلة مهمة إلى الأشخاص الذين يحتمل أن يتأثروا”. العملاء “، كتب المستشار.
لم يستجب المتحدثون الرسميون لشركة Microsoft عندما سأل موقع TechCrunch عن عدد المؤسسات التي تم إخطارها، أو ما إذا كانت الشركة تخطط لتغيير الطريقة التي تخطر بها العملاء المتأثرين.
