攻击者利用Zendesk身份验证问题向目标收件箱泛滥企业通知

网络犯罪分子发现了Zendesk工单提交流程中的一个漏洞，并利用它向受害者发送大量误导性支持消息。

当配置为接受匿名请求时，该服务可能被滥用以生成看似来自合法企业域名的电子邮件洪流。

本周早些时候，安全博主Brian Krebs成为此次攻击活动的目标，从100多个不同的Zendesk客户那里收到了数千封快速连续的电子邮件警报。

匿名工单创建助长大规模冒充

根据Zendesk通讯总监Carolyn Camoens的说法，该平台允许某些客户在没有预先验证的情况下接受支持请求。

“这些类型的支持工单可能是客户工作流程的一部分，在允许他们使用支持功能之前不需要进行预先验证，“她解释说。

公司可能选择此设置以减少用户摩擦，但这也意味着任何人在创建新工单时都可以指定任何电子邮件地址和主题行。

通过将匿名提交与工单创建的自动回复触发器相结合，攻击者可以制作自己的主题行，并强制Zendesk从客户域名发送确认消息。

受害者会看到合法的企业品牌和熟悉的回复地址，例如help@washpost.com，即使该消息是由恶意行为者生成的。

对这些消息的回复会返回到合法的客户支持收件箱，营造出有效支持案例的假象。

“我们认识到我们的系统被以分布式、多对一的方式利用来针对您，“Camoens表示。

Zendesk目前正在调查额外的安全措施，并建议客户采用经过身份验证的工单流程，要求在触发自动回复之前验证用户的电子邮件地址。

在实施更强大的措施之前，敦促Zendesk客户调整其设置以阻止匿名工单创建，或要求验证步骤，如电子邮件确认或CAPTCHA挑战。

未能验证请求者会为垃圾邮件发送者打开大门，并可能带来法律威胁，损害公司声誉并使收件箱不堪重负。

这种滥用行为突显了自动化支持工具在配置不当的情况下，如何成为骚扰的强大工具。

使用Zendesk和类似平台的组织应立即审查其工单提交策略，以防止不良行为者将其系统武器化来针对毫无戒心的接收者。