Zendesk'in altyapısı kimlik avı ve 'domuz katliamı' dolandırıcılığıyla kötüye kullanılıyor

Yeni bir çalışma, Zendesk'in SaaS altyapısının dolandırıcılar ve bilgisayar korsanları tarafından hedef alındığını gösteriyor.

CloudSek tarafından hazırlanan çalışma, kötü niyetli kişilerin, Zendesk'in ücretsiz SaaS deneme teklifini, şüphelenmeyen kullanıcıları kandırmak amacıyla gerçek markaları taklit etmek için kullandığını iddia ediyor.

CloudSek özellikle tedarikçinin kimlik avı kampanyalarına açık olduğuna inanıyor.

Kısacası saldırganlar, kimlik avı, veri hırsızlığı ve mali dolandırıcılığa yönelik ilgi çekici arayüzler oluşturmak amacıyla markalı alt alan adlarını kaydetmek için ücretsiz deneme sürümünü kullanıyor.

Hedeflenen alt alanlar, kullanıcılara meşru görünmek için kimliğine bürünülen markanın adını sayılarla birleştirir.

Raporda, son altı ay içinde çok sayıda Zendesk istemcisinin şüpheli alan adları tarafından hedef alındığının bildirildiği belirtiliyor.

Bu durum satıcı için açıkça bir endişe kaynağı olsa da CloudSek, raporun yazarının açıkladığı gibi, sahte alan adlarının “domuz katliamı” dolandırıcılıklarını dağıtmak için de kullanılabileceğini belirtiyor: Noel Varghese.

Domuz kesimi

Adını bir domuzu kesmeden önce şişmanlatma uygulamasından alan domuz katliamı, dolandırıcıların rastgele hedeflerle güven oluşturmasını, ardından onları sahte yatırımlara kandırıp paralarıyla birlikte ortadan kaybolmasını içeriyor.

Rapor, şirketin bilgisi dahilinde Zendesk'in şu anda bu tür dolandırıcılıklardan etkilenmediğini vurgulamak isterken CloudSek, ücretsiz denemenin zayıflığının SaaS sağlayıcısını savunmasız hale getirdiğine inanıyor.

Bu olasılığı araştırırken CloudSek, XYZ Şirketini hedef alan potansiyel bir kimlik avı saldırısının Zendesk'i bir altyapı platformu olarak nasıl kullanabileceğini ve domuz katliamı dolandırıcılığını yaymak için sahte alan adlarını nasıl kullanabileceğini gösteren bir gösteri sundu.

Aşağıda dolandırıcılığın pratikte nasıl çalışabileceğinin kısa bir özeti bulunmaktadır:

1. Zendesk hesabını kurun: Saldırgan, hedef şirketin adını taklit eden bir alt alan adı kullanarak bir Zendesk hesabı kaydeder.
2. Sahte alt alan adı oluşturma: Saldırgan, yönetim erişimiyle kullanıcıları davet edebilir ve meşru bilet bildirimleri görünümünde kimlik avı e-postaları gönderebilir.
3. Kimlik avı ayarları: Davetiyeler, destek bildirimleri gibi görünen kimlik avı sayfalarına bağlantılar içerir.
4. Veri toplama: RocketReach gibi araçlar çalışanların e-posta adreslerinin toplanmasına yardımcı olarak belirli kullanıcıların kimlik avına hedeflenmesine olanak tanır.
5. Sömürü: Zendesk'in e-posta kimlik doğrulamasının olmaması, saldırganların eklenen herhangi bir e-posta adresine kimlik avı bağlantıları göndermesine olanak tanır.

Bu varsayımsal örnekte, meşru bir destek bileti ataması gibi görünen bir kimlik avı sayfası alan Zendesk portalının bir üyesi olarak tek kullanımlık bir e-posta adresi eklenmiştir.

Bu, uygun güvenlik sağlanmadığı takdirde Zendesk'in altyapısının kimlik avı saldırıları için ne kadar kolay kötüye kullanılabileceğini gösteriyor.

Gözlemler ve öneriler

Her şeyden önce, saldırganların kontrolündeki Zendesk etki alanlarından gelen tüm e-posta yazışmalarının (biletlerin) spam olarak işaretlenmek yerine birincil gelen kutusuna düşmesi önemli bir risk oluşturmaktadır.

Yukarıda gösterildiği gibi bu durum, çalışanların bu kimlik avı kampanyalarını kuruluşlarından gelen meşru iletişimler olarak algılamalarına yol açabilir.

Ek olarak, biletler hem kurumsal hem de kurumsal olmayan e-posta hesaplarına doğrulama olmadan atanabilir ve bu da saldırganların sahte Zendesk etki alanından gelen e-postalara sahip herkesi hedeflemesine olanak tanır.

Rapor, bu tehditle mücadele için aşağıdakileri öneriyor:

• Bilinmeyen Zendesk örneklerini kara listeye alın: Çalışanların kimliğe bürünmüş kurumsal alan adlarıyla etkileşimde bulunmasını önlemek için, kimliği doğrulanmamış Zendesk oturum açma sayfalarına erişimi kısıtlayın.

• XVigil'in algılama araçlarından yararlanın: Şirket gibi görünen şüpheli Zendesk alt alan adlarını belirlemek ve uyarmak için XVigil'in Sahte URL'leri ve Kimlik Avı Alt Modülünü kullanın. Proaktif izleme ve kaldırma faaliyetleri olayların önlenmesine yardımcı olabilir.

• Çalışan farkındalığı ve eğitimi: Başarılı saldırı riskini azaltmak için çalışanları kimlik avı taktikleri konusunda eğitin ve onları müşteri desteği veya yatırım planı gibi görünen dolandırıcılıklara karşı uyarın.

Endişe verici bir eğilim

Müşteri hizmetleri ve deneyimi açısından bakıldığında, dolandırıcıların sahte Zendesk formları veya kimliğine bürünmüş destek temsilcileri aracılığıyla hassas müşteri verilerine yetkisiz erişim elde etme tehlikesi vardır ve bu da veri ihlallerine ve mali kayıplara yol açabilir.

İlginç bir şekilde CloudSek raporu, geçen Ekim ayında açıklanan başka bir Zendesk güvenlik açığının ardından geliyor.

Bu zayıflık, HackerOne aracılığıyla Daniel adlı 15 yaşındaki bir etik hacker tarafından istismar edildi ve birden fazla müşteri destek bildirimine erişmesine ve hassas müşteri verilerini açığa çıkarmasına olanak sağladı.

Güvenlik açığı, e-posta sahteciliğine karşı savunmasız olduğu tespit edilen Zendesk'in e-posta sistemini bir kez daha etkiledi.

İstismarın basitliği Zendesk ve kullanıcıları için özellikle endişe vericidir.

Saldırganların bu güvenlik açığından yararlanabilmesi için yalnızca destek e-posta adresine ve tahmin edilebilir bir bilet kimliğine ihtiyacı vardı.

Orijinal talep sahibinin e-postasını taklit ederek ve kendilerini kopyalayarak destek biletlerine yetkisiz erişim elde ettiler.

Sahtekarlık korumasının olmayışı, saldırganların tek oturum açma güvenliğini aşmasına ve aktif destek görüşmelerinde hassas müşteri bilgilerine erişmesine olanak tanıdı.

Zendesk'in domuz katliamı için hedef alındığına dair hiçbir örnek bulunmadığını tekrar belirtmekte fayda var.

Ancak etik hacker ihlali ve dört ay içinde yayınlanması beklenen rapor, Zendesk'in şüphesiz düzeltmeye çalışacağı endişe verici bir eğilimin altını çiziyor.