Para penjahat siber semakin sering memanfaatkan skenario perutean email yang kompleks dan kesalahan konfigurasi perlindungan penipuan untuk mengirim email phishing yang meniru komunikasi internal perusahaan. Microsoft telah melaporkan peningkatan serangan semacam itu sejak Mei 2025, dan kampanye phishing telah menjadi oportunistik dan meluas di berbagai industri. Kampanye ini sering memanfaatkan platform phishing-as-a-service seperti Tycoon2FA untuk membuat umpan yang meyakinkan, seperti pemberitahuan HR palsu atau permintaan pengaturan ulang kata sandi, untuk mengelabui penerima agar mengungkapkan kredensial mereka.

Microsoft telah menyatakan dengan jelas bahwa serangan phishing ini bukan disebabkan oleh kerentanan pada fitur Direct Send, melainkan oleh perutean yang kompleks dan langkah-langkah anti-spoofing yang tidak memadai. Pelanggan Microsoft Exchange dengan catatan MX yang mengarah ke Office 365 tidak terpengaruh oleh hal ini karena mereka memiliki deteksi spoofing bawaan. Namun, organisasi dengan konfigurasi yang berbeda disarankan untuk menerapkan kebijakan DMARC dan SPF yang ketat serta mengkonfigurasi konektor pihak ketiga dengan benar untuk mencegah spoofing domain.

Keefektifan email phishing ini terletak pada kenyataan bahwa email tersebut tampak dikirim dari dalam organisasi yang ditargetkan, sehingga meningkatkan kemungkinan penerima akan membalas email tersebut. Meskipun Microsoft mendeteksi sebagian besar upaya ini, organisasi dapat lebih mengurangi risiko dengan mengkonfigurasi sistem email dengan benar. Terjebak dalam penipuan ini dapat mengakibatkan konsekuensi serius, termasuk pencurian data, peretasan email bisnis, dan kerugian finansial akibat faktur palsu.

Unggahan blog Microsoft merinci aspek teknis serangan ini, memberikan contoh dan analisis pesan phishing, header email , dan langkah-langkah pencegahan penipuan. Unggahan tersebut juga menyediakan sumber daya tentang konfigurasi aturan alur email dan konektor untuk mencegah serangan phishing ini. Dengan mengikuti panduan Microsoft, organisasi dapat memperkuat pertahanan mereka terhadap serangan penipuan email yang canggih ini.