2026年1月27日,网络安全领域再曝重大钓鱼邮件事件。多名用户反映收到一封伪装成微软Power BI官方邮箱no-reply-powerbi@microsoft.com的恶意邮件,内容竟谎称用户账户被扣费高达399美元,并诱导受害者拨打诈骗电话或安装远程控制软件。值得注意的是,该邮箱地址本应用于合法的订阅通知服务,微软此前还曾建议用户将其加入邮件白名单,以避免被误判为垃圾邮件。
此次攻击的隐蔽性极高,黑客可能利用了Power BI系统允许添加外部订阅者的功能,实施精准仿冒。邮件内容设计得极为逼真,不仅模仿了微软官方的邮件格式,还伪造了看似真实的账单详情,极易让用户产生误判。一旦受害者上当,不仅可能面临财产损失,更可能遭受远程控制软件的入侵,导致个人隐私泄露甚至系统瘫痪。
网络安全公司Proofpoint经过深入研判,将此次事件定性为针对性极强的社会工程攻击。该机构分析指出,攻击者通过精准锁定目标用户群体,利用其对企业服务的信任心理,实施诈骗行为。此类攻击往往具有高度的定制化特征,包括伪造的账单编号、逼真的付款链接等,足以让缺乏安全意识的用户上当受骗。
微软方面已对此事件高度关注,并迅速启动内部调查程序。虽然公司暂未公布具体的处置进展,但已表示将采取一切必要措施保障用户权益。此次事件也再次提醒广大用户,在接收涉及费用的邮件时务必保持警惕,切勿轻易点击不明链接或拨打陌生电话。同时,企业应加强内部安全培训,提高员工对钓鱼邮件的识别能力,防范类似攻击事件的发生。
