TechCrunch报道称，过去数月内，诈骗者滥用微软真实邮箱发送钓鱼邮件。该邮箱通常用于发送双因素认证码及账户通知，故易获用户信任。

调查显示，攻击并非伪造发件人名称，而是利用微软合法通知系统或关联机制。因发件地址真实，传统‘核对邮箱’方式已失效。专家建议：切勿点击邮件内链接；遇安全提醒，应手动访问微软官网或App自查账户。目前微软尚未公开回应。