微軟大疏失 安全警告信看起來卻像垃圾郵件

2024年6月，微軟透過電子郵件向客戶詳述網路攻擊事件，而這封資安的郵件被大多數收件人系統誤認為垃圾郵件。主要原因是郵件缺乏SPF（寄件者政策框架）和DKIM（域名金鑰辨識郵件）等基本的電子郵件身份驗證措施。

編譯／Cynthia

2024年1月，微軟（Microsoft）遭受一場名為午夜暴雪（Midnight Blizzard，又名APT29）的大規模網路攻擊。這次攻擊據稱由俄羅斯支持的駭客組織發動，成功入侵Microsoft高層員工的郵件帳號。雖然攻擊者未能進入客戶系統，但這事件仍然讓人震驚。

微軟安全郵件遭誤認

2024年6月，微軟透過電子郵件向客戶詳述午夜暴雪攻擊事件，然而這封關乎重大資安的郵件被大多數收件人系統誤認為垃圾郵件。主要原因是郵件缺乏SPF（寄件者政策框架）和DKIM（域名金鑰辨識郵件）等基本的電子郵件身份驗證措施。這項缺失導致客戶未能及時接收到重要資安訊息，反映出溝通的重要性和技術保護的必要性。

更多新聞：垃圾郵件大危機 詐騙升級藏身其中

重要郵件存安全疑慮

資安專家Kevin Beaumont在LinkedIn上提醒用戶，指出這封郵件並非透過Microsoft 365安全途徑發出，而是來自「mbsupport@microsoft.com」，這一點引發用戶的擔憂。資安專家Thanos Vrachnos也在LinkedIn分享類似的客戶反饋，他們擔心這可能是釣魚信件，因為信件標頭顯示缺乏正確的認證資訊，且郵件中的URL指向一個簡單的Azure PowerApp。這些情況反映出企業在安全事件溝通中的挑戰，需要加強身份驗證和透明度，以避免用戶對重要資訊的誤解和擔憂。

引發客戶混淆及疑慮

許多客戶在收到這封郵件後，紛紛在論壇或直接聯繫微軟帳戶管理者，詢問郵件真實性。更令人困惑的是當客戶在Reddit上詢問Microsoft技術支持時，他們卻被告知「mbsupport@microsoft.com」這個電子信箱並不存在。這樣的回應進一步加深客戶對郵件的疑慮和對微軟的信任度。

溝通策略需更為謹慎

這起事件顯示微軟在重要資訊傳遞上的嚴重失誤，面對如此重大的安全挑戰，企業在選擇溝通方式時應更謹慎，確保資訊的可靠性和透明度。僅有正確的溝通方式，才能有效避免類似的誤解和混亂，並維護客戶的信任與安全感。

資料來源：B2B Cyber Security

這篇文章 微軟大疏失 安全警告信看起來卻像垃圾郵件 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。