Kasus penyalahgunaan sistem email kembali jadi sorotan. Kali ini, scammer diketahui memanfaatkan akun email internal Microsoft untuk mengirim pesan spam berisi tautan berbahaya ke banyak pengguna. Celah ini bahkan sudah berlangsung selama beberapa bulan dan sampai sekarang masih menjadi perhatian serius.
Baca Juga : Waspada! Kerentanan WSUS di Windows Server Bisa Jadi Jalan Masuk Hacker
Yang membuat kasus ini cukup mengkhawatirkan, email tersebut terlihat seperti notifikasi resmi dari Microsoft. Akibatnya, tidak sedikit pengguna yang berpotensi tertipu karena mengira pesan tersebut benar-benar berasal dari perusahaan teknologi raksasa itu.
Menurut laporan yang beredar, para scammer diduga berhasil membuat akun Microsoft baru layaknya pelanggan biasa. Dari akses tersebut, mereka kemudian mengirim email menggunakan alamat internal Microsoft yang biasanya dipakai untuk notifikasi penting, seperti kode autentikasi dua langkah atau peringatan keamanan akun.
Sampai saat ini, belum diketahui secara pasti bagaimana sistem tersebut bisa disalahgunakan. Microsoft sendiri juga belum memberikan penjelasan detail terkait metode yang digunakan pelaku.
Pekan lalu, sejumlah email mencurigakan dengan format serupa dilaporkan muncul di berbagai akun email pengguna. Email-email tersebut dikirim melalui alamat msonlineservicesteam@microsoftonline.com, yang memang dikenal sebagai alamat resmi Microsoft untuk mengirim pemberitahuan penting.
Isi pesannya pun dibuat cukup meyakinkan. Beberapa email menggunakan subjek yang menyerupai notifikasi transaksi mencurigakan, sementara email lain mengklaim ada pesan pribadi yang menunggu untuk dibuka melalui tautan tertentu di dalam email.
Sayangnya, tautan tersebut justru mengarah ke situs scam atau phishing yang berpotensi mencuri data pengguna.
Organisasi anti-spam nirlaba, The Spamhaus Project, juga mengungkap bahwa mereka telah melihat aktivitas penyalahgunaan alamat email notifikasi Microsoft ini sejak beberapa bulan terakhir. Dalam unggahan mereka di media sosial, Spamhaus menyebut sistem notifikasi otomatis seharusnya tidak memberikan tingkat kustomisasi seperti ini kepada pengguna.
“Automated notification systems should not allow this level of customization,” tulis Spamhaus.
Organisasi tersebut juga mengaku telah memberi tahu Microsoft mengenai masalah ini. Namun hingga kini, belum ada konfirmasi apakah Microsoft sudah berhasil menghentikan penyalahgunaan tersebut.
Saat dimintai keterangan oleh TechCrunch, pihak Microsoft diketahui telah menerima pertanyaan terkait kasus ini. Meski begitu, perusahaan belum memberikan komentar lebih lanjut ataupun penjelasan resmi mengenai langkah penanganannya.
Kasus ini menambah daftar panjang penyalahgunaan sistem perusahaan oleh hacker maupun scammer dalam beberapa waktu terakhir. Sebelumnya, platform milik perusahaan fintech Betterment juga sempat diretas dan digunakan untuk mengirim notifikasi palsu terkait penawaran cryptocurrency.
Pada 2023 lalu, insiden serupa juga menimpa Namecheap. Saat itu, hacker berhasil memanfaatkan akses ke akun email perusahaan untuk menyebarkan email phishing yang bertujuan mencuri kredensial pengguna.
Baca Juga : Microsoft Akui Bug Update Windows 11 Picu Error 0x800f0922
Menariknya, sejumlah pengguna media sosial mengaku melihat pola serupa pada layanan perusahaan lain. Hal ini memunculkan dugaan bahwa masalah penyalahgunaan email internal tidak hanya terjadi di Microsoft saja.
Karena itu, pengguna disarankan untuk lebih waspada saat menerima email yang berisi tautan atau permintaan data pribadi, bahkan jika email tersebut tampak berasal dari perusahaan besar sekalipun.
