Így működik a csalás
A támadók kihasználták, hogy sok cég Zendesk platformja lehetővé teszi ellenőrizetlen felhasználóknak is a hibajegyek létrehozását. A rendszer minden egyes ilyen hibajegyről automatikusan visszaigazoló e-mailt küldött, így a támadók akár több száz, különböző címzettnek tudtak kéretlen leveleket generálni egyetlen listából. Feladóként olyan nagy nevek jelentek meg, mint a Discord, a Tinder, a Riot Games, a Dropbox, a NordVPN, a Kahoot vagy akár Tennessee állami szervei. Ezért még a spamszűrők sem fogták meg ezeket a leveleket, hiszen hivatalos, megbízható forrásból származtak.
Bizarr üzenetek, rendhagyó megjelenéssel
Más szempontból a legtöbb levél semmilyen káros linket vagy adathalász-kísérletet nem tartalmazott – inkább úgy tűnik, a támadók csak zavart akartak kelteni vagy szívatni az áldozatokat. A tárgyak között volt például „Help Me!”, „Felvásárlási megerősítés”, „JOGI FIGYELMEZTETÉS Izraelből”, de gyakoriak voltak a cégnevekkel és hatóságokkal kapcsolatos hamis felszólítások is. Sok címsor Unicode-karakterekkel volt kiemelve, több nyelven íródtak.
Cégek reagálnak, a Zendesk szigorít
A fejlemények után több érintett vállalat, köztük a Dropbox és a 2K, közölték: az ügyfelek tekintsék tárgytalannak az üzeneteket. Kiemelték, hogy a Zendesk által alkalmazott nyílt ügyfélszolgálati rendszer – amely nem igényel sem regisztrációt, sem e-mail-visszaigazolást – bizonyult sebezhetőnek a támadással szemben. Ugyanakkor garantálták, hogy felhasználói fiókkal vagy bizalmas adatokkal kapcsolatos intézkedést kizárólag hitelesített, közvetlen megbízás alapján végeznek.
Friss biztonsági intézkedések
A Zendesk azóta új védelmi eszközöket élesített. Megerősítették a forgalomfigyelést, és korlátozásokat vezettek be az automatikus jegykezelésnél a szokatlan aktivitás kiszűrésére. Ezért a cégek és szervezetek közvetlen felelőssége is, hogy korlátozzák az ilyen visszaéléseket, bekapcsolva a szükséges opciókat, például csak regisztrált e-mail-címekről engedélyezzék a hibajegyeket.
