Microsoft Selidiki Modus Phishing Baru yang Catut Email Resmi Perusahaan

Pengguna internet kini diminta meningkatkan kewaspadaan saat menerima pesan masuk dari Microsoft. Dilansir dari Detik iNET, sejumlah pelaku kejahatan siber dilaporkan berhasil menyalahgunakan alamat email resmi milik perusahaan teknologi tersebut untuk mengirimkan tautan phishing.

Berdasarkan laporan di media sosial, para korban menerima email penipuan dari alamat resmi [email protected]. Tampilan pesan tersebut menyerupai format asli Microsoft, namun bagian subjek memuat promosi situs pihak ketiga atau topik terkait Bitcoin.

Subjek email tersebut juga kerap menyertakan nomor telepon hingga tautan asing yang sama sekali tidak berhubungan dengan Microsoft. Keanehan ini patut diwaspadai karena meski alamat pengirim terlihat valid, pesan tersebut bukan dikirim oleh pihak Microsoft.

Alamat email resmi tersebut sebenarnya berfungsi untuk mengirimkan notifikasi penting seperti kode autentikasi dua faktor (2FA). Namun, celah keamanan ini dimanfaatkan penipu sehingga pesan palsu mereka berhasil lolos dari filter spam kotak masuk pengguna.

Pakar keamanan siber dari perusahaan Abnormal mengungkapkan bahwa taktik ini memanfaatkan sistem notifikasi Microsoft sejak awal tahun ini. Laporan resmi Abnormal pada Januari 2026 memaparkan metode manipulasi sistem yang dilakukan oleh pelaku.

"Serangan dimulai dengan pelaku kejahatan membuat akun Micrsooft 365 sekali pakai," tulis Abnormal dalam laporannya, seperti dikutip dari Mashable, Jumat (22/5/2026).

"Eksploitasi intinya terletak pada konfigurasi Tenant Branding di dalam Microsoft Entra ID. Penipu mengarah ke Tenant Properties dan memodifikasi kolom 'Nama' untuk memuat pesan peringatan keuangan palsu," sambungnya.

Melalui modifikasi nama akun tersebut, pelaku memicu sistem Microsoft untuk mengirimkan email kode verifikasi ke alamat target. Proses ini berjalan saat pelaku meminta Microsoft menambahkan email korban ke dalam akun buatan mereka.

Saat sistem mengirimkan email otomatis ke target, Microsoft secara otomatis menyertakan nama buatan pelaku di kolom subjek. Dampaknya, korban menerima pesan penipuan finansial yang seolah-olah menjadi bagian dari subjek resmi email.

Melihat metode penjahat siber yang semakin manipulatif, masyarakat diimbau untuk selalu memeriksa keabsahan isi pesan secara mendalam. Pengguna diharapkan tidak langsung memercayai email hanya berdasarkan keaslian alamat pengirimnya saja.