.webp)
Pengguna internet diimbau berhati-hati saat menerima email dari Microsoft yang sekilas terlihat resmi. Pasalnya penipu berhasil mencatut alamat email resmi Microsoft untuk menyebarkan link phishing.
Sejumlah pengguna media sosial belakangan ini melaporkan bahwa mereka menerima email penipuan dari alamat email resmi Microsoft yaitu mailto:msonlineservicesteam@microsoftonline.com.
Email yang mereka terima sekilas terlihat sama seperti email resmi dari Microsoft, lengkap dengan template yang biasa mereka pakai. Namun, bagian subjek email biasanya menyebut Bitcoin atau mempromosikan website pihak ketiga.
SCROLL TO CONTINUE WITH CONTENT
Bagian subjek email juga kadang berisi nomor telepon atau link website yang tidak berhubungan dengan Microsoft. Email itu patut dicurigai karena walaupun alamatnya resmi dari Microsoft, tapi yang mengirim bukan dari raksasa teknologi tersebut.
Alamat email ini pada umumnya dipakai untuk mengirimkan email notifikasi seperti kode autentikasi dua faktor (2FA) atau peringatan penting lainnya terkait akun pengguna.
Namun, penipu menemukan cara untuk menyisipkan skema penipuan ke dalam alamat email resmi ini. Karena mencatut alamat email resmi, email penipuan ini berhasil melewati segala jenis filter pendeteksi penipuan atau spam di kotak masuk pengguna.
Walaupun skema penipuan ini baru dilaporkan di media sosial, masalah ini sepertinya sudah ada sejak beberapa bulan yang lalu. Laporan dari perusahaan keamanan siber Abnormal yang dirilis pada Januari 2026 mengungkap bagaimana penipu menyalahgunakan sistem notifikasi email Microsoft dan mengelabuinya untuk mengirim email phishing.
"Serangan dimulai dengan pelaku kejahatan membuat akun Micrsooft 365 sekali pakai," tulis Abnormal dalam laporannya, seperti dikutip dari Mashable, Jumat (22/5/2026).
"Eksploitasi intinya terletak pada konfigurasi Tenant Branding di dalam Microsoft Entra ID. Penipu mengarah ke Tenant Properties dan memodifikasi kolom 'Nama' untuk memuat pesan peringatan keuangan palsu," sambungnya.
Dengan nama yang dimodifikasi sesuai pesan penipu, mereka kemudian memperdayai Microsoft untuk mengirimkan email kode verifikasi ke alamat email target. Penipu melakukan ini dengan meminta Microsoft untuk menambahkan alamat email target ke akun Microsoft penipu.
Ketika email dikirimkan ke target, Microsoft menyertakan nama mereka di baris subjek. Namun, dalam kasus ini, penipu telah memasukkan pesan mereka kepada korban sebagai nama email.
Mengingat penjahat siber yang semakin cerdik dan banyak akal, pengguna internet diminta tetap waspada dan membaca email dengan seksama, bahkan jika pengirimnya tampak terpercaya.
(vmp/vmp)
