Aksi penipuan siber kini semakin canggih dengan memanfaatkan infrastruktur legal. Dilansir dari Detik iNET, para pelaku kejahatan digital berhasil memanipulasi alamat email resmi milik Microsoft untuk mengirimkan tautan phishing kepada target korban.
Sejumlah pengguna media sosial melaporkan telah menerima pesan penipuan dari alamat [email protected]. Alamat tersebut sebenarnya merupakan email valid yang biasa digunakan Microsoft untuk mengirimkan notifikasi penting seperti kode autentikasi dua faktor (2FA).
Meskipun dikirim dari sistem resmi, pesan tersebut memuat subjek yang mencurigakan seperti pembahasan mengenai Bitcoin atau promosi situs pihak ketiga. Di dalam pesan juga kerap disisipkan nomor telepon serta tautan luar yang sama sekali tidak berkaitan dengan layanan Microsoft.
Metode manipulasi ini membuat sistem keamanan kotak masuk gagal mendeteksi ancaman. Karena menggunakan domain asli dari Microsoft, email palsu tersebut berhasil lolos dari berbagai filter spam dan pemindai penipuan otomatis.
Penyalahgunaan sistem ini terungkap melalui riset mendalam dari penyedia keamanan digital. Laporan dari perusahaan keamanan siber Abnormal yang dirilis pada Januari 2026 mengungkap bagaimana penipu menyalahgunakan sistem notifikasi email Microsoft dan mengelabuinya untuk mengirim email phishing.
"Serangan dimulai dengan pelaku kejahatan membuat akun Micrsooft 365 sekali pakai," tulis Abnormal dalam laporannya, seperti dikutip dari Mashable, Jumat (22/5/2026).
"Eksploitasi intinya terletak pada konfigurasi Tenant Branding di dalam Microsoft Entra ID. Penipu mengarah ke Tenant Properties dan memodifikasi kolom 'Nama' untuk memuat pesan peringatan keuangan palsu," sambungnya.
Melalui perubahan nama pada properti tersebut, pelaku memicu sistem untuk mengirimkan email otomatis berupa kode verifikasi. Proses ini dilakukan dengan mengajukan permintaan penambahan alamat email korban ke dalam akun Microsoft milik pelaku.
Saat notifikasi otomatis dikirimkan oleh sistem Microsoft, teks peringatan palsu yang telah diinput penipu otomatis muncul pada baris subjek email korban. Pengguna internet kini diminta untuk memeriksa secara jeli setiap pesan masuk, meskipun identitas pengirim terlihat sangat meyakinkan.
