🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Phishing

Facilitando atividades de phishing e abate de porcos usando a infraestrutura do Zendesk [Modo Bait & Switch]

Campanhas de phishing e golpes de “abate de porcos” têm explorado cada vez mais a infraestrutura SaaS da Zendesk, aproveitando seus subdomínios de teste gratuito para imitar marcas legítimas e enganar usuários desavisados. Ao registrar subdomínios com nomes semelhantes a marcas, os invasores criam interfaces com aparência autêntica para facilitar o phishing, o roubo de dados e a fraude financeira. Esse uso indevido é agravado pelas ferramentas de marketing B2B que auxiliam na coleta de e-mails dos funcionários e pela falta de verificação de e-mail da Zendesk para atribuição de tickets, o que permite que os e-mails de phishing ignorem os filtros de spam. Para mitigar esses riscos, as organizações devem implementar medidas proativas, como colocar na lista negra instâncias desconhecidas do Zendesk, utilizar ferramentas de detecção como o xVigil e educar os funcionários sobre táticas de phishing.
January 20, 2025
5
min
Tabela de conteúdo
Exemplo H2
Exemplo H2
Analyst Note:
This report is strictly being circulated as an advisory, for organizations' awareness and can help in the future, provided that the newly populated domains are blocked or taken down. Actioning on any unrecognized Zendesk Instance should solely be done on discretion, and after thorough checks - confirming that customer facing operations are not disrupted.
CloudSEK has responsibly disclosed this flaw to Zendesk, to possibly look into the issue and to provide a suitable mitigation for the same.

Sumário executivo

O Zendesk permite que um usuário se inscreva para um teste gratuito de sua plataforma SaaS, permitindo o registro de um subdomínio, que pode ser usado indevidamente para se passar por um alvo. Vários clientes foram alertados sobre esses domínios suspeitos nos últimos 6 meses, por meio do xVigil URLs falsos e phishing Submódulo. Esses subdomínios direcionados usaram uma combinação de palavras-chave relacionadas ao nome da marca que se faz passar por você e uma sequência de números para parecerem legítimos para usuários desavisados.

No entanto, neste relatório, exploraremos como esses domínios do Zendesk podem ser usados como isca para possivelmente facilitar fraudes de investimento, por meio do Pig Butchering. Observe que não vimos campanhas ativas utilizando esse método, mas é uma técnica de ataque que gostaríamos de explorar e demonstrar.

Análise

Desde 2023, o xVigil capturou 1.912 instâncias de sites da Zendesk, com base na correspondência de palavras-chave do cliente. Com casos de instâncias legítimas sendo usadas por empresas para se comunicar com clientes, mais do que frequentemente vimos 5 ou mais instâncias sendo registradas para uma empresa em vários períodos de tempo. Uma análise baseada na indústria foi fornecida abaixo para contextualizar.

Figura 1: Gráfico circular da divisão das instâncias do Zendesk por setor

Demonstração de uma possível tentativa de ataque de phishing contra a empresa XYZ, usando o Zendesk como infraestrutura, auxiliada por outro domínio falso que propaga fraudes de abate de porcos

1. Um usuário se inscreve no Zendesk, com o pretexto de registrar um endereço de URL que imita a empresa-alvo. Os detalhes solicitados pela Zendesk no momento do registro são: -

  • Endereço de e-mail ativo
  • Nome
  • Tamanho da empresa

2. Depois que os detalhes são fornecidos, uma opção para nomear a instância do Zendesk é apresentada, permitindo que um ator escolha um subdomínio semelhante ao da empresa-alvo.

Figura 2 - Tela solicitando que o usuário selecione um nome de subdomínio

Figura 3 - E-mail de verificação de e-mail

3. Depois de registrar o subdomínio (do caso de demonstração do CloudSEK), a página inicial apareceu assim

Figuras 4 e 5 - Tela inicial editada pelo analista do CloudSEK para criar e representar um subdomínio do Zendesk que se faz passar pela Acme Corporation

4. Ao registrar o subdomínio, o usuário tem acesso de administrador ao subdomínio e pode adicionar usuários como 'usuários' ao portal. Ao fazer isso, um e-mail de convite é enviado.

Figura 6 - Formulário do Zendesk para convidar usuário

Figura 7: E-mail de convite recebido em uma conta do Gmail usado para fins de demonstração

5. Os agentes de ameaças então tentarão testar as águas, depois de enviar um e-mail de convite, e poderão então vincular páginas de phishing ativas, com o pretexto de atribuir tickets ao usuário convidado.

Figura 8 - Vinculando uma página de phishing usando captura de tela de imagem. Um ticket foi atribuído à conta demo, com palavras-chave de engenharia social adequadas solicitando atenção imediata

6. Com a existência de ferramentas de marketing B2B, como RocketReach, Apollo e outras plataformas de inteligência de vendas, tem sido fácil procurar IDs de e-mail de funcionários pertencentes a uma organização. Isso, auxiliado por agentes de ameaças que percebem o potencial de tentativas bem-sucedidas de phishing, fazem com que a Zendesk, auxiliada por páginas de phishing, pareçam legítimas para o usuário comum.

A Zendesk não realiza verificações de e-mail para convidar usuários. O que significa que qualquer conta aleatória pode ser adicionada como membro. As páginas de phishing podem ser enviadas sob a forma de tickets atribuídos ao endereço de e-mail.

Nas capturas de tela fornecidas abaixo, um endereço de e-mail descartável foi escolhido e adicionado à lista de membros, como destinatário do ticket do Zendesk (usuário final). O endereço conseguiu receber a página de phishing, recebida sob o pretexto de atribuição de um ticket.

Figuras 9 e 10 - Lista de membros do Zendesk e e-mails recebidos

Observações: -

  • Todas as correspondências por e-mail (tickets) chegam à caixa de entrada principal, em vez de serem marcadas como spam. Isso é muito preocupante, pois os funcionários podem confundir campanhas orquestradas do mesmo tipo com a divulgação de uma autoridade confiável, como seu local de trabalho. Existem diferentes variantes de orquestrar o golpe usando o mesmo fio, no entanto, esse é apenas um cenário que gostaríamos de demonstrar.
  • Reputação de e-mail - Com o Google tratando todas as correspondências relacionadas ao Zendesk como confiáveis, elas acabam chegando à caixa de entrada principal. Além disso, os tickets podem ser atribuídos a contas de e-mail corporativas e não corporativas (o que significa que nenhuma validação é realizada) e que qualquer pessoa pode receber e-mails do domínio Zendesk controlado pelo atacante.

Figura 11 - Personalização da página da Central de Ajuda do Zendesk que confere ainda mais autenticidade à orquestração de fraudes

Impacto:

  • Roubo de dados e perda financeira: Campanhas de phishing direcionadas aos usuários do Zendesk podem levar ao roubo de credenciais, acesso não autorizado às informações do cliente e possíveis perdas financeiras, especialmente se os phishers obtiverem acesso a dados confidenciais do cliente por meio de formulários falsos da Zendesk ou agentes de suporte falsos.
  • Riscos legais e de conformidade: As empresas afetadas por ataques de phishing, especialmente em setores regulamentados, podem enfrentar responsabilidades legais e penalidades de conformidade se os dados do cliente forem expostos ou manipulados incorretamente por meio de canais de phishing que se fazem passar pela Zendesk.

Recomendações:

  • Coloque instâncias desconhecidas do Zendesk na lista negra: Isso evitará que os funcionários acessem qualquer página de login baseada na Zendesk que se faça passar por empresas.
  • Uso de URLs falsos e submódulo de phishing do xVigil : O xVigil ajudou a detectar e alertar possíveis tentativas de subdomínios baseados na Zendesk se fazerem passar por empresas. A vigilância e a triagem constante do submódulo ajudarão a evitar que qualquer incidente externo aconteça, com atividades proativas de remoção
  • Conscientização e educação do cliente: Educar os funcionários, bem como alertá-los sobre táticas comuns de phishing, pode reduzir a probabilidade de eles caírem em e-mails de phishing que se passam por esquemas de suporte ao cliente ou de investimento.

Referências

Noel Varghese
Cyber Threat Researcher

Blogs relacionados

Este é um texto dentro de um bloco div.
Phishing
March 26, 2025
4
min
Além do scanner: como os phishers superam os mecanismos tradicionais de detecção
Leia mais
Este é um texto dentro de um bloco div.
Phishing
February 14, 2025
8
min
Cenário de ataques cibernéticos do Dia dos Namorados: explorando o amor por meio do engano digital
Leia mais
Este é um texto dentro de um bloco div.
Phishing
January 24, 2025
4
min
Desmascarando o engano cibernético: o surgimento de páginas genéricas de phishing voltadas para várias marcas
Leia mais