Falha de segurança na Microsoft permite envio de spam através de domínios oficiais
Uma vulnerabilidade persistente nos sistemas da Microsoft tem sido explorada por cibercriminosos para disparar e-mails de spam utilizando endereços internos da própria companhia. O canal, normalmente reservado ao envio de alertas legítimos e notificações de segurança, é usado para conferir uma aparência de alteração a mensagens fraudulentas.
Como o golpe utiliza a infraestrutura da Microsoft
Embora o método exato de exploração ainda não tenha sido totalmente esclarecido, os esperados conseguem criar novas contas na plataforma e utilizar o acesso para disparar comunicações em nome da gigante da tecnologia. Ao utilizar um endereço oficial, os golpistas aumentam significativamente as chances de convencer os usuários de que se trata de uma mensagem genuína.
Relatos recentes apontam que o endereço [email protected]frequentemente utilizado para o envio de códigos de autenticação de dois fatores e avisos críticos de segurança, tem sido o vetor principal. As mensagens fraudulentas variam entre avisos sobre supostas transações suspeitas e convites para acessar links externos que prometem mensagens privadas.

Alerta de especialistas e inércia da empresa
O problema não é recente. De acordo com o The Spamhaus Project, organização especializada em combate ao spam, essa atividade maliciosa vem sendo monitorada há vários meses. Em uma manifestação pública realizada na última terça-feira, uma entidade criticou a falta de restrições nos sistemas de notificação da empresa:
Os sistemas de notificação automatizados não deveriam permitir esse nível de personalização.
Apesar de ter sido notificada pelo Spamhaus e contatada por veículos de imprensa, a Microsoft ainda não enviou um posicionamento oficial sobre a correção da falha ou sobre medidas para interrupção o abuso de seus canais de notificação.
Um cenário recorrente de phishing corporativo
O incidente com a Microsoft é apenas o exemplo mais recente de uma tendência preocupada em que infraestruturas de grandes empresas sejam sequestradas para aplicar golpes. O setor de tecnologia tem enfrentado desafios crescentes com esse tipo de exploração:
- Melhoramento: No início de 2026, a plataforma de tecnologia financeira teve seu sistema de notificações invadido para promover golpes de criptomoedas.
- Nome barato: Em 2023, o acesso a uma conta de e-mail da empresa foi comprometido para o envio de mensagens de phishing destinadas ao roubo de credenciais.
Especialistas em segurança alertaram que o problema parece ser sistêmico e não se restringe apenas à Microsoft, indicando que outras grandes empresas também podem estar com seus canais de comunicação vulneráveis a abusos semelhantes.
Com informações do Techcrunch


