Los ciberdelincuentes abusan de una falta generalizada de autenticación en la plataforma de atención al cliente zendesk para inundar las bandejas de entrada de correo electrónico específicas con mensajes amenazantes que provienen de cientos de clientes corporativos de Zendesk simultáneamente.
Zendesk es un servicio de mesa de ayuda automatizado diseñado para facilitar que las personas se comuniquen con las empresas para resolver problemas de atención al cliente. A principios de esta semana, KrebsOnSecurity comenzó a recibir miles de mensajes de notificación de creación de tickets a través de Zendesk en rápida sucesión, cada uno con el nombre de diferentes clientes de Zendesk, como CapCom, CompTIA, Discordia, GMAC, NordVPN, El Correo de Washingtony Tinder.
Las misivas abusivas enviadas a través de la plataforma de Zendesk pueden incluir cualquier línea de asunto elegida por los abusadores. En mi caso, los mensajes advertían de diversas formas sobre una supuesta investigación policial que involucraba a KrebsOnSecurity.com o contenían insultos personales.
Además, todos los mensajes automatizados que se envían a raíz de este tipo de abuso provienen de nombres de dominio de clientes, no de Zendesk. En el siguiente ejemplo, al responder a cualquiera de las respuestas no deseadas de atención al cliente de la instalación de Zendesk de The Washington Post se muestra que la dirección de respuesta es help@washpost.com.
Uno de las docenas de mensajes que me envió esta semana The Washington Post.
Zendesk, notificado sobre el abuso masivo de su plataforma, dijo que los correos electrónicos eran notificaciones de creación de tickets de cuentas de clientes que configuraron su instancia de Zendesk para permitir que cualquiera enviara solicitudes de soporte, incluidos usuarios anónimos.
«Este tipo de tickets de soporte pueden ser parte del flujo de trabajo de un cliente, donde no se requiere una verificación previa para permitirles participar y hacer uso de las capacidades de soporte», dijo Carolyn Camoensdirectora de comunicaciones de Zendesk. «Aunque recomendamos a nuestros clientes que solo permitan que los usuarios verificados envíen tickets, algunos clientes de Zendesk prefieren utilizar un entorno anónimo para permitir la creación de tickets debido a diversos motivos comerciales».
Camoens dijo que las solicitudes que pueden enviarse de forma anónima también pueden utilizar una dirección de correo electrónico de elección del remitente.
«Sin embargo, este método también se puede utilizar para solicitudes de spam que se crean en nombre de direcciones de correo electrónico de terceros», dijo Camoens. «Si una cuenta ha habilitado el activador de respuesta automática basado en la creación de tickets, esto permite que el correo electrónico de notificación del ticket se envíe desde las cuentas de nuestros clientes a estos terceros. La notificación también incluirá el Asunto agregado por el creador de estos tickets».
Zendesk afirma que utiliza límites de velocidad para evitar que se cree un gran volumen de solicitudes a la vez, pero esos límites no impidieron que los clientes de Zendesk inundaran mi bandeja de entrada con miles de mensajes en tan solo unas pocas horas.
«Reconocemos que nuestros sistemas fueron utilizados en su contra de manera distribuida, muchos contra uno», dijo Camoens. «Estamos investigando activamente medidas preventivas adicionales. También recomendamos a los clientes que experimentan este tipo de actividad que sigan nuestras mejores prácticas de seguridad generales y configuren un flujo de trabajo de creación de tickets autenticados».
En todos los casos anteriores, el abuso de mensajería no habría sido posible si los clientes de Zendesk validaran las direcciones de correo electrónico de solicitud de soporte antes de enviar respuestas. No hacerlo puede facilitar que los clientes de Zendesk manejen las solicitudes de atención al cliente, pero también permite que los inútiles manchen la marca del remitente al servicio de inundaciones de correo electrónico disruptivo y malicioso.
Abuso de la plataforma de atención al cliente Zendesk
Los ciberdelincuentes han encontrado una forma de abusar de la plataforma de atención al cliente Zendesk para enviar mensajes amenazantes y spam a las bandejas de entrada de correo electrónico de usuarios específicos. Zendesk es un servicio de mesa de ayuda automatizado que permite a las personas comunicarse con las empresas para resolver problemas de atención al cliente. Sin embargo, debido a una falta de autenticación en la plataforma, los ciberdelincuentes pueden enviar mensajes desde cientos de clientes corporativos de Zendesk simultáneamente.
Cómo funciona el abuso
Los ciberdelincuentes pueden enviar mensajes a través de la plataforma de Zendesk con cualquier línea de asunto que elijan. En el caso de KrebsOnSecurity, los mensajes advertían sobre una supuesta investigación policial que involucraba a la empresa o contenían insultos personales. Los mensajes se envían desde nombres de dominio de clientes de Zendesk, no desde Zendesk en sí mismo. Por ejemplo, si se responde a un mensaje de atención al cliente de The Washington Post, la dirección de respuesta es help@washpost.com.
Respuesta de Zendesk
Zendesk ha sido notificado sobre el abuso masivo de su plataforma y ha explicado que los correos electrónicos son notificaciones de creación de tickets de cuentas de clientes que configuraron su instancia de Zendesk para permitir que cualquiera enviara solicitudes de soporte, incluidos usuarios anónimos. La directora de comunicaciones de Zendesk, Carolyn Camoens, dijo que algunos clientes de Zendesk prefieren utilizar un entorno anónimo para permitir la creación de tickets debido a motivos comerciales. Sin embargo, este método también puede ser utilizado para solicitudes de spam que se crean en nombre de direcciones de correo electrónico de terceros.
Medidas de seguridad
Zendesk afirma que utiliza límites de velocidad para evitar que se cree un gran volumen de solicitudes a la vez, pero esos límites no impidieron que los clientes de Zendesk inundaran la bandeja de entrada de KrebsOnSecurity con miles de mensajes en tan solo unas pocas horas. La empresa está investigando medidas preventivas adicionales y recomienda a los clientes que experimentan este tipo de actividad que sigan sus mejores prácticas de seguridad generales y configuren un flujo de trabajo de creación de tickets autenticados.
Conclusión
En resumen, el abuso de la plataforma de atención al cliente Zendesk es un problema serio que puede tener consecuencias negativas para los usuarios y las empresas que utilizan el servicio. La falta de autenticación en la plataforma permite que los ciberdelincuentes envíen mensajes spam y amenazantes desde cientos de clientes corporativos de Zendesk simultáneamente. Es importante que Zendesk tome medidas para prevenir este tipo de abuso y que los clientes configuren un flujo de trabajo de creación de tickets autenticados para evitar que se envíen mensajes no deseados.
Recomendaciones
- Los clientes de Zendesk deben configurar un flujo de trabajo de creación de tickets autenticados para evitar que se envíen mensajes no deseados.
- Zendesk debe tomar medidas para prevenir el abuso de su plataforma, como implementar medidas de seguridad adicionales y limitar el número de solicitudes que se pueden enviar en un período de tiempo determinado.
- Los usuarios deben ser cautelosos al responder a mensajes de atención al cliente y verificar la autenticidad de los mensajes antes de responder.
Impacto
El abuso de la plataforma de atención al cliente Zendesk puede tener consecuencias negativas para los usuarios y las empresas que utilizan el servicio. Puede llevar a la pérdida de tiempo y recursos, ya que los usuarios deben dedicar tiempo a responder a mensajes no deseados. También puede dañar la reputación de las empresas que utilizan el servicio, ya que los mensajes spam y amenazantes pueden ser percibidos como procedentes de la empresa en sí misma. Es importante que se tomen medidas para prevenir este tipo de abuso y proteger a los usuarios y las empresas que utilizan el servicio.