Пользователи по всему миру столкнулись с волной необычного спама, который приходит не от типичных спамерских доменов, а от легитимных адресов систем поддержки компаний, использующих платформу Zendesk. Адресаты получают десятки и даже сотни автоматических писем с абсурдными или пугающими темами, что вызывает обеспокоенность, несмотря на отсутствие очевидного вредоносного содержимого.
Массовая рассылка спама через Zendesk: с чего всё началось
По сообщениям пользователей и отраслевых изданий, массовая рассылка началась примерно 18 января: именно в этот день в социальных сетях стали появляться первые жалобы на «лавину» непрошеных уведомлений от служб поддержки. Содержимое сообщений, как правило, не содержит вредоносных вложений или явных фишинговых ссылок, однако их количество и тематика создают ощущение атаки и перегружают почтовые ящики.
Ключевая особенность инцидента в том, что сообщения формально являются легитимными: это автоматические ответы систем поддержки, сгенерированные реальными компаниями, а не классическими спамерами с одноразовых доменов.
Как работает схема relay‑спама через системы поддержки Zendesk
Злоупотребление открытой формой создания тикетов
Многие организации, использующие Zendesk, включают функцию создания тикетов без обязательной регистрации и подтверждения email. Это снижает порог входа для клиентов: любой может оставить обращение, просто указав адрес электронной почты.
Злоумышленники эксплуатируют именно эту возможность. Они массово отправляют запросы через такие открытые формы, подставляя в поле email большие списки адресов пользователей. В результате Zendesk автоматически формирует тикеты и рассылает письма-подтверждения на каждый указанный адрес. Эти сообщения и становятся нагрузочным каналом relay‑спама.
Почему письма обходят спам-фильтры
Большинство современных систем фильтрации спама ориентируется на репутацию домена, корректность SPF/DKIM/DMARC-записей и историю отправителя. В данном случае отправителями выступают реальные домены известных компаний и сама инфраструктура Zendesk, которая имеет высокий уровень доверия. Поэтому почтовые шлюзы воспринимают такие уведомления как легитимную транзакционную почту, а не как массовую спам-кампанию.
По сути, это классический пример relay‑спама: спам-актер не отправляет письма напрямую, а использует уважаемую платформу в качестве «ретранслятора».
Кто оказался затронут: от гейминга до госпредприятий
Среди компаний, чьи системы поддержки были использованы в рассылке, сообщаются Discord, Tinder, Riot Games, Dropbox, CD Projekt (2k.com), Maya Mobile, NordVPN, ведомства по труду и налогам штата Теннесси, Lightspeed, CTL, Kahoot, Headspace и Lime. Список охватывает сразу несколько секторов: развлечения, SaaS-сервисы, финтех, государственные структуры.
Важно подчеркнуть, что это не выглядит как компрометация инфраструктуры этих компаний. Речь идет о злоупотреблении публично доступным функционалом: системы действуют так, как были настроены, но без достаточных ограничений и антиспам-контроля.
Необычные темы тикетов: от «помогите» до псевдозапросов от полиции
Часть спам-писем имитирует запросы от правоохранительных органов или официальную переписку о блокировке контента. Другие пытаются привлечь внимание предложениями бесплатного Discord Nitro или используют эмоциональные заголовки вроде «Помогите!». Многие темы оформляются с применением Unicode-символов, жирного начертания и текста на разных языках, чтобы выделяться в списке писем.
Даже при отсутствии вредоносной нагрузки подобные сообщения создают информационный шум, затрудняют работу с почтой и могут подталкивать пользователей к импульсивным действиям — например, к поспешному переходу по ссылкам или ответу на письма, которые кажутся важными или срочными.
Реакция Zendesk и пострадавших компаний
Представители нескольких организаций, в том числе Dropbox и 2K, уже подтвердили факт злоупотребления их системами поддержки и рекомендовали пользователям игнорировать такие письма, если они не инициировали обращение. Компании подчёркивают, что не вносят изменений в аккаунты и не обрабатывают чувствительные запросы без подтверждения владения учетной записью.
Zendesk сообщил о внедрении дополнительных мер защиты от relay‑спама: расширенного мониторинга, лимитов на создание тикетов и механизмов обнаружения аномальной активности с целью оперативной блокировки подобных кампаний. Поставщик платформы также рекомендует клиентам:
• Ограничить создание тикетов только верифицированными пользователями. Включить обязательное подтверждение email или аутентификацию через аккаунт.
• Убрать плейсхолдеры и произвольные поля, позволяющие злоумышленникам свободно подставлять темы и адреса отправителей.
• Настроить лимиты и защиту от ботов, включая CAPTCHA и ограничение количества запросов с одного IP или домена.
Почему relay‑спам через helpdesk-платформы опасен стратегически
По оценкам различных исследований, значительная часть мирового почтового трафика по‑прежнему является спамом, а злоумышленники постоянно ищут способы обойти фильтры. Схема с использованием легитимных helpdesk-платформ опасна тем, что создает доверие за счёт бренда компании и репутации её домена. Сегодня такие письма могут не содержать вредоносных ссылок, но тот же канал в будущем легко может быть использован для таргетированного фишинга или социальной инженерии.
Кроме того, массовая рассылка через системы поддержки помогает атакующим проверять актуальность адресов, изучать реакцию пользователей и параметры почтовых фильтров. Это повышает эффективность последующих атак, в том числе на конкретные организации или их клиентов.
Для компаний этот инцидент — показатель того, что любой публичный интерфейс взаимодействия с клиентами должен рассматриваться как потенциальный вектор атаки, а не только классические почтовые серверы или веб-сайты.
Организациям, использующим Zendesk и аналогичные платформы, стоит пересмотреть настройки тикетов, добавить многоуровневую защиту от злоупотреблений и регулярно анализировать журналы активности. Пользователям имеет смысл внимательнее относиться к автоматическим письмам от служб поддержки: не переходить по ссылкам из неожиданных уведомлений, проверять обращения через личный кабинет или официальное приложение и помечать подозрительные сообщения как спам.
