【编者按】这篇爆料揭露了一个持续数月的惊人漏洞：不法分子竟能利用微软官方内部邮箱发送诈骗邮件！作为全球科技巨头，微软的账号通知系统本应是用户安全的第一道防线，如今却沦为骗子“官方认证”的诈骗工具。更令人细思极恐的是，普通网民一旦收到声称来自“microsoftonline.com”的邮件，几乎毫无防备。本文直击黑客如何钻空子冒用企业系统，堪称一场针对普通用户的“信任收割机”。看完这个真相，您还敢轻点邮件里的链接吗？一起见证这场数字时代的“狼来了”闹剧。

数月来，骗子一直利用一个漏洞，从微软通常用于发送合法账户警报的内部邮箱地址发送垃圾邮件。

目前尚不清楚骗子如何滥用该系统，但他们已能像新客户一样注册新微软账户，并借此以这家科技巨头名义发送邮件，诱使收件人误信邮件真实可信。

微软似乎尚未有效遏制这一问题。

上周，我通过不同账号收到了多封结构相似的邮件，标题和链接均指向诈骗网站。这些粗制滥造的邮件均来自msonlineservicesteam@microsoftonline.com——这个邮箱本用于发送双重验证码等关键账户通知。

部分邮件标题模仿官方欺诈交易预警，另一些则声称收件人在正文提及的网址有私密留言待查。

反垃圾邮件非营利组织Spamhaus项目周二发帖称，他们同样发现微软的账户通知邮箱被滥发垃圾邮件，且该行为已持续“数月”。

“自动化通知系统不应允许如此程度的定制化操作，”Spamhaus写道。该组织称已向微软通报此问题。

TechCrunch本周初联系微软时，发言人虽确认收到问询，但未就公司是否已阻断对其账户通知邮箱的滥用行为作出回应或置评。

这是近几个月来黑客或骗子滥用企业系统诱骗用户的又一起案例。今年早些时候，黑客入侵金融科技公司Betterment的平台，发送虚假通知声称用户发送的加密货币价值可翻三倍——这正是窃取虚拟货币的常见骗局。

早在2023年，黑客就曾利用Namecheap的邮箱账号发送钓鱼邮件，企图盗取用户凭证。

社交媒体上其他用户反映，其他公司的邮箱地址同样被用于发送垃圾邮件，表明问题并非微软独有。