詐騙者正濫用內部 Microsoft 帳戶發送垃圾連結

攻擊者利用 Microsoft 365 的內部架構與設定錯誤

攻擊者正利用受信任的 Microsoft 365 基礎設施與租約設定錯誤，發送看起來完全合法的釣魚內容。此行動透過濫用 Microsoft 帳單與訂閱電子郵件，將釣魚誘餌嵌入租約顯示名稱中，使檢測變得極為困難。

釣魚內容偽裝為真實 Microsoft 帳戶通知

詐騙者透過複雜的路由設定與錯誤的偽裝保護機制，成功偽裝組織域名，使惡意郵件更難被識別與阻止。

相關案例與警告

• 有報導指出，詐騙者正利用 Microsoft 帳戶的「別名」功能，將惡意郵件儲存於其資料庫中，進而發送給用戶。
• Microsoft 明確建議，應允許此發件者電子郵件地址繞過垃圾郵件過濾，以確保重要系統訊息不會被誤判為垃圾。
• 有安全網站警告，目前出現大量來自真實 Microsoft 帳戶的詐騙郵件，濫用 Microsoft 的聲譽使詐騙更難被發現。
• 另有報導指出，詐騙者利用 Microsoft 365 的「Direct Send」功能，偽裝內部用戶郵件，並透過虛假 QR 碼發動釣魚攻擊。

來源：https://techcrunch.com/2026/05/21/scammers-are-abusing-an-internal-microsoft-account-to-send-spam/