- После взлома систем обработки заявок Zendesk пользователи начали получать массовую волну спама с необычными и пугающими заголовками.
- Злоумышленники использовали функцию Zendesk, позволяющую неподтверждённым пользователям создавать заявки, что приводило к автоматической рассылке писем.
- Пострадали крупные компании, такие как Discord, Tinder, Dropbox, CD Projekt и другие; Zendesk уже внедрила меры по предотвращению подобных атак.
В середине января 2025 года пользователи по всему миру столкнулись с масштабной рассылкой спам-сообщений, исходящих из систем поддержки клиентов Zendesk. Спам появился вследствие уязвимости в платформе, которая позволяла злоумышленникам создавать поддельные заявки на поддержку от имени неподтверждённых пользователей. В результате Zendesk автоматически отправляла письма с подтверждениями о получении тикетов на адреса электронной почты, указанные злоумышленниками.
Хотя полученные сообщения не содержат фишинговых ссылок и явных вредоносных вложений, их количество и хаотичный характер вызывают у пользователей тревогу. Спам охватил многие известные компании, среди которых Discord, Tinder, Dropbox, Riot Games, CD Projekt, NordVPN и государственные учреждения штата Теннесси. В списке также значатся международные сервисы как Kahoot и Headspace.
Вредоносные письма часто имитируют запросы от правоохранительных органов, призывы к удалению сайтов или содержат заманчивые предложения, например, о бесплатном Discord Nitro, а некоторые оформлены с использованием Unicode-символов для выделения текста на разных языках. Поскольку письма исходят из легитимных систем Zendesk, они обходят традиционные спам-фильтры и достигают почтовых ящиков пользователей.
Компании, пострадавшие от этой атаки, в том числе Dropbox и 2K, заверили, что утечки личных данных или конфиденциальной информации не происходит и рекомендовали игнорировать подобные письма. Представители 2K подчеркнули, что любые серьёзные обращения обрабатываются исключительно после подтверждения идентичности владельца учётной записи.
Свою реакцию на инцидент дала и Zendesk, сообщив о внедрении новых функций безопасности. В частности, платформа усилила мониторинг подозрительной активности и ввела ограничения для неподтверждённых пользователей, чтобы предотвратить повторение подобных злоупотреблений. Ранее, в декабре, компания предупреждала клиентов о рисках, связанных с использованием сервиса для «ретрансляционного спама».
Для предотвращения подобных атак Zendesk рекомендует ограничить создание тикетов только проверенными пользователями и исключить возможность подставлять произвольные адреса электронной почты или темы обращения.
Дополнительно исследователи из ReliaQuest зафиксировали более 40 тайпсквотированных доменов, имитирующих Zendesk, некоторые из которых используются для фишинговых атак и мошеннической рассылки. Это свидетельствует о повышенной активности злоумышленников, стремящихся обмануть сотрудников служб поддержки.
Таким образом, инцидент с массированной волной спама через системы Zendesk подчёркивает важность усиления контроля над цифровыми сервисами поддержки и внимательности пользователей к письмам, поступающим из подобных источников. Несмотря на отсутствие прямой угрозы фишинга, это событие демонстрирует, насколько уязвимыми могут быть автоматизированные системы коммуникации при отсутствии соответствующих защитных мер.
