Az utóbbi időszakban egy kifinomult adathalász kampányról számoltak be felhasználók, amely a Microsoft Azure Monitor riasztási rendszerét használja megtévesztő módon. A támadók olyan e-maileket küldenek, amelyek látszólag a Microsoft biztonsági csapatától érkeznek, és jogosulatlan tranzakciókra figyelmeztetnek. Különösen veszélyes ebben a módszerben, hogy az üzenetek valóban a Microsoft hivatalos rendszerén keresztül kerülnek kiküldésre, így hitelesnek tűnnek és átmennek az olyan e-mail hitelesítési ellenőrzéseken, mint az SPF, DIKM és DMARC. Ez jelentősen növeli annak esélyét, hogy a címzettek megbízzanak bennük.

A csalás technikai háttere viszonylag egyszerű, mégis hatékony. A támadók Azure Monitor riasztásokat hoznak létre könnyen aktiválható eseményekhez, például számlázási vagy fizetési aktivitásokhoz. A riasztások leírás mezőjébe tetszőleges szöveget írhatnak, ide helyezik el a megtévesztő üzenetet és a visszahívásra ösztönző telefonszámokat. Ezeket a riasztásokat egy, a támadók által kezelt levelezőlistára küldik, amely továbbítja azokat a célpontoknak, miközben megőrzi az eredeti Microsoft fejléceket. Az e-mailek gyakran sürgős hangvételűek, például egy gyanús, több száz dolláros Windows Defender terhelésre hivatkoznak, és azonnali intézkedést követelnek.

A támadás célja, hogy a felhasználók felhívják a megadott telefonszámot, ahol a csalók különböző módszerekkel próbálnak érzékeny adatokat megszerezni, pénzt kicsalni vagy akár távoli hozzáférési eszközt telepíteni az áldozat rendszerére. Mivel az üzenetek vállalati hangvételűek, különösen veszélyesek lehetnek céges környezetben, ahol egy sikeres támadás további rendszerek kompromittálódásához vezethet. A szakértők azt javasolják, hogy minden olyan Microsoft vagy Azure értesítést kezeljünk gyanakvással, amely sürgős intézkedést kér, különösen, ha telefonszámot is tartalmaz, ezen felül mindig ellenőrizzük hivatalos csatornákon keresztül is az ilyen jellegű figyelmeztetéseket.