Die Zendesk-Spamwelle ist zurück, nachdem Angreifer erneut Kundensupportsysteme missbraucht haben, um Postfächer mit unerwünschten E-Mails zu überfluten. Nutzer in mehreren Regionen berichten, große Mengen an „Konto aktivieren“- und Support-Nachrichten erhalten zu haben, die sie nie angefordert haben. Da die E-Mails von legitimen Zendesk-gestützten Domains stammen, umgehen viele Spamfilter und landen direkt in den primären Posteingängen.
Die Kampagne zeigt, wie vertrauenswürdige Geschäftstools zu effektiven Spam-Verteilmechanismen werden können, wenn Angreifer offene Konfigurationen ausnutzen.
Wie Angreifer Zendesk-Systeme missbrauchen
Die Spamwelle nutzt aus, wie einige Zendesk-Konfigurationen die Erstellung von Support-Tickets handhaben. In bestimmten Einstellungen kann jeder ein Ticket erstellen, ohne eine E-Mail-Adresse zu verifizieren. Wird ein Ticket erstellt, versendet Zendesk automatisch Bestätigungs- oder Benachrichtigungs-E-Mails an die angegebene Adresse.
Angreifer automatisieren diesen Prozess, indem sie eine große Anzahl von Tickets mit E-Mail-Adressen Dritter einreichen. Zendesk versendet daraufhin automatische Antworten an diese Postfächer, obwohl die Empfänger nie mit der Plattform interagiert haben. Auf diese Weise wird eine legitime Support-Infrastruktur in ein Massenmailing-System verwandelt.
Da die E-Mails von echten Unternehmensdomains und Zendesk-Servern stammen, haben herkömmliche Spamfilter Schwierigkeiten, sie zu blockieren.
Wie die E-Mails aussehen
Empfänger beschreiben eine Vielzahl verwirrender und irreführender Nachrichten. Viele E-Mails enthalten Betreffzeilen, die sich auf Kontoaktivierungen, Support-Tickets oder dringende Benachrichtigungen beziehen. Einige verwenden ungewöhnliche Zeichen, Symbole oder dekorative Schriftarten, um Aufmerksamkeit zu erregen.
Trotz der alarmierenden Aufmachung enthalten die meisten Nachrichten weder Malware noch direkte Phishing-Links. Stattdessen scheint die Kampagne darauf ausgelegt zu sein, Postfächer zu überlasten und das Vertrauen der Nutzer in bekannte Marken und legitime Absenderdomains auszunutzen.
Warum der Spam schwer zu blockieren ist
Das Blockieren der E-Mails ist schwierig, da sie von vielen verschiedenen Zendesk-Instanzen versendet werden. Jedes betroffene Unternehmen verschickt E-Mails von seiner eigenen legitimen Domain. Nutzer, die einen Absender blockieren, erhalten oft weiterhin Nachrichten von anderen.
Für Unternehmen stellt der Missbrauch zudem ein Reputationsrisiko dar. Kunden könnten annehmen, dass das Unternehmen selbst die E-Mails versendet hat, obwohl Angreifer die Aussendungen über automatisierte Ticket-Erstellungen ausgelöst haben.
Maßnahmen, die Organisationen ergreifen können
Organisationen, die Zendesk einsetzen, können die Angriffsfläche reduzieren, indem sie die Regeln für die Ticket-Erstellung verschärfen. Anforderungen an die E-Mail-Verifizierung, der Einsatz von CAPTCHA-Schutzmechanismen und die Begrenzung automatisierter Antworten können den Missbrauch eindämmen. Die Überwachung ungewöhnlicher Spitzen bei der Ticket-Erstellung hilft ebenfalls, Angriffe frühzeitig zu erkennen.
Zendesk hat Maßnahmen ergriffen, um die Erkennung zu verbessern und groß angelegten Missbrauch einzudämmen, doch die Wirksamkeit hängt weiterhin davon ab, wie einzelne Kunden ihre Support-Portale konfigurieren.
Fazit
Die Rückkehr der Zendesk-Spamwelle zeigt, wie Angreifer weiterhin vertrauenswürdige Plattformen statt klassischer Spam-Infrastruktur ausnutzen. Durch den Missbrauch offener Ticket-Systeme erzeugen sie große Mengen unerwünschter E-Mails, die Filter umgehen und Nutzer frustrieren. Der Vorfall unterstreicht die Notwendigkeit strengerer Konfigurationen, besserer Überwachung und robusterer Maßnahmen gegen Missbrauch in Kundensupport-Plattformen.
0 Kommentare zu „Zendesk-Spamwelle kehrt zurück und überschwemmt Postfächer mit gefälschten Aktivierungs-E-Mails“