تسهيل أنشطة التصيد الاحتيالي وذبح الخنازير باستخدام البنية التحتية لـ Zendesk [وضع Bait & Switch]

لقد استغلت حملات التصيد الاحتيالي وعمليات الاحتيال المتعلقة بـ «ذبح الخنازير» بشكل متزايد البنية التحتية SaaS الخاصة بـ Zendesk، مستفيدة من نطاقاتها الفرعية التجريبية المجانية لتقليد العلامات التجارية الشرعية وخداع المستخدمين غير المرتابين. من خلال تسجيل نطاقات فرعية بأسماء تشبه العلامات التجارية، يقوم المهاجمون بإنشاء واجهات ذات مظهر أصلي لتسهيل التصيد الاحتيالي وسرقة البيانات والاحتيال المالي. تتفاقم إساءة الاستخدام هذه بسبب أدوات التسويق B2B التي تساعد في جمع رسائل البريد الإلكتروني للموظفين، وافتقار Zendesk إلى التحقق من البريد الإلكتروني لتخصيص التذاكر، مما يسمح لرسائل البريد الإلكتروني المخادعة بتجاوز عوامل تصفية البريد العشوائي. للتخفيف من هذه المخاطر، يجب على المؤسسات تنفيذ تدابير استباقية مثل وضع حالات Zendesk غير المعروفة في القائمة السوداء، واستخدام أدوات الكشف مثل xviGil، وتثقيف الموظفين حول أساليب التصيد الاحتيالي.

January 20, 2025

Analyst Note

Analyst Note:

This report is strictly being circulated as an advisory, for organizations' awareness and can help in the future, provided that the newly populated domains are blocked or taken down. Actioning on any unrecognized Zendesk Instance should solely be done on discretion, and after thorough checks - confirming that customer facing operations are not disrupted.

CloudSEK has responsibly disclosed this flaw to Zendesk, to possibly look into the issue and to provide a suitable mitigation for the same.

ملخص تنفيذي

يسمح Zendesk للمستخدم بالتسجيل للحصول على نسخة تجريبية مجانية من منصة SaaS الخاصة به، مما يسمح بتسجيل نطاق فرعي، يمكن إساءة استخدامه لانتحال شخصية الهدف. العديد من العملاء تم تنبيهك إلى مثل هذه المجالات المشبوهة في الأشهر الستة الماضية، من خلال xviGiL's عناوين URL المزيفة والتصيد الاحتيالي الوحدة الفرعية. استخدمت هذه النطاقات الفرعية المستهدفة مجموعة من الكلمات الرئيسية المتعلقة باسم العلامة التجارية المنتحلة وسلسلة من الأرقام لتبدو شرعية للمستخدمين غير المرتابين.

ومع ذلك، سنستكشف في هذا التقرير كيف يمكن استخدام نطاقات Zendesk هذه كطعم لاحتمال تسهيل عمليات الاحتيال الاستثمارية، من خلال Pig Butchering. يرجى ملاحظة أننا لم نر حملات نشطة تستخدم هذه الطريقة، ولكنها تقنية هجوم نود استكشافها وتوضيحها.

التحليل

منذ عام 2023، استحوذت xviGil على 1912 مثيلاً لمواقع Zendesk على الويب - استنادًا إلى مطابقة الكلمات الرئيسية للعميل. نظرًا لوجود حالات مشروعة تستخدمها الشركات للتواصل مع العملاء، فقد رأينا في كثير من الأحيان 5 حالات أو أكثر يتم تسجيلها لشركة في فترات زمنية مختلفة. تم تقديم تفصيل بناءً على الصناعة أدناه للسياق.

‍

*الشكل 1 - مخطط دائري لتفصيل مثيلات Zendesk حسب الصناعة*

‍

عرض توضيحي لمحاولة هجوم تصيد محتمل ضد شركة XYZ، باستخدام Zendesk كبنية تحتية، بمساعدة نطاق مزيف آخر ينشر عمليات الاحتيال المتعلقة بذبح الخنازير

1. يقوم المستخدم بالتسجيل في Zendesk، بحجة تسجيل عنوان URL الذي يحاكي الشركة المستهدفة. التفاصيل التي طلبتها Zendesk عند التسجيل هي: -

عنوان البريد الإلكتروني العامل
الاسم
حجم الشركة

2. بمجرد تقديم التفاصيل، يتم طرح خيار تسمية مثيل Zendesk، مما يسمح للممثل باختيار نطاق فرعي يشبه الشركة المستهدفة.

‍

*الشكل 2 - شاشة تطلب من المستخدم تحديد اسم نطاق فرعي*

‍

*الشكل 3 - البريد الإلكتروني للتحقق من البريد الإلكتروني*

‍

3. بعد تسجيل النطاق الفرعي (من الحالة التوضيحية لـ CloudSek)، ظهرت الصفحة المقصودة على هذا النحو

‍

الشكلان 4 و 5 - شاشة البداية التي تم تحريرها بواسطة محلل CloudSek لإنشاء وانتحال شخصية نطاق Zendesk الفرعي الذي ينتحل شخصية شركة Acme Corporation

‍

4. عند تسجيل النطاق الفرعي، يكون لدى المستخدم حق الوصول الإداري إلى النطاق الفرعي ويمكنه إضافة مستخدمين كـ «مستخدمين» إلى البوابة الإلكترونية. يتم إرسال بريد دعوة، من خلال القيام بذلك.

‍

*الشكل 6 - نموذج Zendesk لدعوة المستخدم*

‍

*الشكل 7 - بريد الدعوة الذي تم استلامه على حساب Gmail المستخدم لأغراض العرض التوضيحي*

‍

5. ستحاول الجهات الفاعلة في مجال التهديد بعد ذلك اختبار الأجواء، بعد إرسال بريد دعوة، وقد تقوم بعد ذلك بربط صفحات التصيد النشطة، بحجة تخصيص تذاكر للمستخدم المدعو.

‍

الشكل 8 - ربط صفحة التصيد باستخدام لقطة شاشة الصورة. تم تخصيص تذكرة للحساب التجريبي، مع الكلمات الرئيسية المناسبة للهندسة الاجتماعية التي تتطلب الاهتمام الفوري

‍

6. مع وجود أدوات تسويق B2B مثل RocketReach و Apollo ومنصات ذكاء المبيعات الأخرى، أصبح من السهل البحث عن معرفات البريد الإلكتروني للموظفين، التي تنتمي إلى منظمة. هذا، بمساعدة الطُعم الذي يدفعه الفاعلون المهددون الذين يستشعرون إمكانية محاولات التصيد الاحتيالي الناجحة، يجعل Zendesk، بمساعدة صفحات التصيد الاحتيالي، تبدو شرعية للمستخدم العادي.

لا تقوم Zendesk بإجراء فحوصات البريد الإلكتروني لدعوة المستخدمين. مما يعني أنه يمكن إضافة أي حساب عشوائي كعضو. يمكن إرسال صفحات التصيد الاحتيالي، تحت ستار التذاكر المخصصة لعنوان البريد الإلكتروني.

في لقطات الشاشة المقدمة أدناه، تم اختيار عنوان بريد إلكتروني يمكن التخلص منه وإضافته إلى قائمة الأعضاء، كمستلم تذكرة Zendesk (المستخدم النهائي). كان العنوان قادرًا على تلقي صفحة التصيد الاحتيالي، التي تم استلامها تحت ستار تخصيص التذاكر.

‍

*الشكلان 9 و 10 - قائمة أعضاء Zendesk والبريد الإلكتروني المستلم*

‍

الملاحظات: -

تصل جميع مراسلات البريد الإلكتروني (التذاكر) إلى صندوق الوارد الأساسي، بدلاً من وضع علامة عليها كرسائل غير مرغوب فيها. هذا أمر مقلق للغاية، حيث يمكن للموظفين أن يخطئوا في الحملات المنسقة ذات السياق المماثل ليتم تعميمها من قبل سلطة موثوقة - مثل مكان عملهم. هناك أشكال مختلفة لتنظيم عملية الاحتيال باستخدام نفس الغزل، ولكن هذا مجرد سيناريو نود إظهاره.

سمعة البريد الإلكتروني - مع تعامل Google مع جميع المراسلات المتعلقة بـ Zendesk على أنها ذات طبيعة جديرة بالثقة، فإنها تصل في النهاية إلى البريد الوارد الأساسي. بالإضافة إلى ذلك، يمكن تخصيص التذاكر لكل من حسابات البريد الإلكتروني للشركات وغير الشركات (مما يعني أنه لا يتم التحقق من الصحة) وأنه يمكن إرسال رسائل بريد إلكتروني لأي شخص من نطاق Zendesk الذي يتحكم فيه المهاجم.

‍

*الشكل 11 - تخصيص صفحة مركز مساعدة Zendesk التي تضفي مزيدًا من الأصالة على تنسيق الاحتيال*

‍

التأثير:

سرقة البيانات والخسارة المالية: يمكن أن تؤدي حملات التصيد الاحتيالي التي تستهدف مستخدمي Zendesk إلى سرقة بيانات الاعتماد والوصول غير المصرح به إلى معلومات العملاء والخسارة المالية المحتملة، خاصة إذا تمكن المخادعون من الوصول إلى بيانات العملاء الحساسة من خلال نماذج Zendesk المزيفة أو وكلاء الدعم المنتحلين.
المخاطر القانونية ومخاطر الامتثال: قد تواجه الشركات المتأثرة بهجمات التصيد الاحتيالي، وخاصة في الصناعات الخاضعة للتنظيم، مسؤوليات قانونية وعقوبات الامتثال في حالة الكشف عن بيانات العملاء أو إساءة التعامل معها من خلال قنوات التصيد التي تنتحل شخصية Zendesk.

التوصيات:

مثيلات Zendesk غير المعروفة في القائمة السوداء: سيمنع هذا الموظفين من الوصول إلى أي صفحة تسجيل دخول تستند إلى Zendesk تنتحل صفة الشركات.
استخدام عناوين URL المزيفة والوحدة الفرعية للتصيد الاحتيالي الخاصة بـ xviGil : ساعدت xviGil في اكتشاف وتنبيه المحاولات المحتملة للنطاقات الفرعية القائمة على Zendesk التي تنتحل شخصية الشركات. ستساعد اليقظة والفرز المستمر من الوحدة الفرعية على تجنب حدوث أي حادث خارجي، من خلال أنشطة الإزالة الاستباقية
توعية العملاء والتعليم: يمكن أن يؤدي تثقيف الموظفين وتحذيرهم من أساليب التصيد الشائعة إلى تقليل احتمالية وقوعهم في رسائل البريد الإلكتروني الاحتيالية التي تنتحل صفة دعم العملاء أو مخططات الاستثمار.