Проверьте настройки аутентификации, чтобы не стать источником спама.
Исследователь Брайан Кребс сообщил о масштабном злоупотреблении сервисом Zendesk — платформой для автоматизации клиентской поддержки, через которую злоумышленники массово рассылают угрозы и оскорбления от имени известных компаний. Проблема связана с тем, что многие клиенты Zendesk не используют обязательную аутентификацию при создании тикетов, что позволяет атакующим рассылать спам на чужие почтовые адреса, подставляя корпоративные домены легитимных организаций.
Ранее на адрес Кребса за короткое время пришли тысячи уведомлений о создании обращений через Zendesk — якобы от таких компаний, как CapCom, CompTIA, Discord, GMAC, NordVPN, The Washington Post и Tinder. В каждой из них фигурировали разные темы: от мнимых расследований правоохранительных органов до грубых оскорблений. Все письма отправлялись не с домена Zendesk, а с реальных корпоративных адресов клиентов — например, help@washpost[.]com, что делало их максимально правдоподобными.
Одно из сообщений, отправленных Брайану Кребсу (KrebsOnSecurity)
В компании Zendesk пояснили, что подобные письма — это автоматические уведомления о создании тикетов, если клиентская система настроена на приём запросов от любых пользователей, включая анонимных. По словам директора по коммуникациям Каролин Камоэнс, некоторые компании намеренно оставляют такую возможность, чтобы облегчить пользователям подачу обращений без предварительной регистрации. Однако такая открытость позволяет спамерам подделывать адреса и создавать ложные обращения от имени третьих лиц.
При включённой автоматической задаче на отправку уведомлений о новых тикетах это приводит к рассылке писем напрямую из корпоративных систем клиентов Zendesk, с любым выбранным злоумышленниками заголовком темы. Zendesk утверждает, что применяет ограничения скорости для предотвращения подобных всплесков активности, но они не сработали — исследователь получил тысячи сообщений за несколько часов.
Представители компании признали, что их система была использована для распределённой атаки «многие против одного» (many-against-one) и пообещали внедрить дополнительные меры защиты. Клиентам, столкнувшимся с подобными инцидентами, рекомендовано ограничить создание тикетов только для аутентифицированных пользователей и пересмотреть настройки уведомлений.