Kwaadwillenden versturen sextortion-mails door de Admin Portal van Microsoft 365 te misbruiken. Omdat dergelijke mails via een legitiem Microsoft-account komen, weten ze filters te omzeilen die dergelijke rommel gewoonlijk een enkeltje spamfolder geven.
In de berichten beweren cybercriminelen dat ze compromitterende seksuele inhoud hebben buitgemaakt van het slachtoffer, of van diens partner. Om verspreiding te voorkomen, moet die in de buidel tasten. De geëiste bedragen variëren van 500 tot 5000 dollar.
Belangrijker is de vraag hoe het de criminelen lukt om de gebruikelijke spamfilters te omzeilen. Het antwoord op die vraag ligt in het Microsoft 365 Message Center, weet BleepingComputer te melden. In dat Center zet Microsoft berichten neer over nieuwe features, aankomende veranderingen of adviezen.
Gebruikers kunnen die serviceberichten delen via e-mail, maximaal met twee anderen per keer. De afzender is in dat geval o365mc@microsoft.com. Dat leest een beetje als een malafide adres, maar is een legitiem Microsoft-adres. Om die reden houden spamfilters berichten die hier vandaan komen gewoonlijk ook niet tegen.
Limiet van 1000 tekens omzeilen
Bij het delen van de berichten is het mogelijk een persoonlijke boodschap toe te voegen. En dat is precies de plek waar de criminelen hun afpersingsbericht neerzetten. Hoewel dit bericht eigenlijk maar 1000 tekens lang kan zijn (en daarna wordt afgekapt), is dit gemakkelijk te omzeilen door met behulp van browser dev tools ofwel ‘element inspecteren’. Het is mogelijk om via deze optie het maximaal aantal tekens uit te breiden met een aantal naar keuze.
Aangezien Microsoft geen server-side checks voor berichtlengte gebruikt, wordt het volledige bericht verzonden zonder te worden afgekapt. Dankzij deze slimmigheid lijken de frauduleuze e-mails legitiem. Microsoft zegt het probleem te onderzoeken, maar tot nu toe is de kwetsbaarheid nog niet verholpen –zo vinden er nog steeds geen server-side checks plaats om te voorkomen dat berichten met meer dan 1000 tekens er doorheen glippen.
Eerder op Techzine: ‘Spear phishing waarbij aanvallers zich voordoen als Microsoft veelvoorkomend’