Zunahme gefälschter Aktivierungs-E-Mails
Seit gestern beobachten zahlreiche Nutzer eine auffällige Häufung von E-Mails mit Betreffzeilen wie Activate your account. Die Nachrichten erscheinen im Stil üblicher Support-Bestätigungen und scheinen von unterschiedlichen Unternehmen zu stammen. Betroffene berichten, dass die E-Mails innerhalb weniger Minuten in großer Zahl eintreffen, ohne dass zuvor ein Support-Ticket eingereicht oder eine Registrierung durchgeführt wurde.
Unter anderem veröffentlichte der Sicherheitsforscher Jonathan Leitschuh entsprechende Hinweise und berichtete von Hunderten derartigen Nachrichten in seinem Posteingang. Nach seinen Angaben wirken die Nachrichten wie fehlgeschlagene Registrierungs- oder Support-Anfragen. Er vermutet einen Angriff, bei dem Support-Systeme gezielt mit fremden E-Mail-Adressen überlastet werden.
Missbrauch echter Zendesk-Systeme
Wie bereits bei früheren Vorfällen stammen die E-Mails nach aktuellem Stand aus echten Zendesk-Instanzen verschiedener Unternehmen. Dadurch umgehen sie gängige Spam-Filter, da die Systeme als vertrauenswürdig eingestuft werden. Die beobachtete Aktivität deutet darauf hin, dass Angreifer die Ticketformulare erneut automatisiert ausnutzen, um Bestätigungs-E-Mails an umfangreiche Listen externer Adressen zu versenden.
Rückblick auf den Vorfall im Januar
Ein ähnlicher Angriff ereignete sich bereits im Januar, als weltweit große Mengen an Spam über Zendesk-Ticketportale versendet wurden. Damals lag der Ursprung ebenfalls im Mechanismus der Ticket-Erstellung, der unbestätigten Nutzern erlaubte, Anfragen einzureichen. Jede Anfrage löste eine automatische Bestätigungsnachricht aus, die Angreifer als unfreiwillige Verteilstation missbrauchten.
In dieser früheren Welle erhielten Betroffene teils mehrere Hundert E-Mails innerhalb kurzer Zeit mit auffälligen oder ungewöhnlichen Betreffzeilen. Zu den betroffenen Unternehmen gehörten unter anderem Dropbox und 2K. Beide Organisationen bestätigten den Vorfall und informierten Empfänger darüber, dass keine Gefahr bestehe und die Nachrichten ignoriert werden könnten.
Zendesk erklärte im Anschluss, dass Sicherheitsmechanismen erweitert worden seien. Dazu zählten verstärkte Überwachung sowie Grenzwerte für verdächtige Aktivitäten. Ziel war es, derartige Missbrauchsszenarien künftig zu verhindern.
Warnungen und empfohlene Schutzmaßnahmen
Bereits im Dezember 2025 veröffentlichte Zendesk eine Warnung an Kunden, in der das Unternehmen vor Missbrauch ungesicherter Ticketportale durch sogenanntes relay spam warnte. Dabei wird die E-Mail-Funktion legitimer Support-Systeme zweckentfremdet. Zendesk riet damals dazu, die Erstellung von Tickets nur für verifizierte Nutzer zu erlauben und Platzhalter zu entfernen, die beliebige Absenderadressen oder frei wählbare Betreffzeilen ermöglichen.
Die aktuellen Ereignisse legen nahe, dass weiterhin zahlreiche Support-Portale unzureichend abgesichert sind und Angreifern somit Angriffsflächen bieten. Trotz der zusätzlichen Sicherheitsmaßnahmen scheint es möglich zu sein, ungeschützte Instanzen zu identifizieren und für massenhaften E-Mail-Versand zu missbrauchen.
Ausblick
Zum jetzigen Zeitpunkt hat Zendesk noch keine Stellungnahme zu den erneuten Vorfällen abgegeben. Die Analyse der Vorfälle sowie mögliche Gegenmaßnahmen bleiben daher abzuwarten. Die wiederkehrende Angriffswelle zeigt jedoch, dass Betreiber von Support-Systemen kontinuierlich ihre Sicherheitskonfiguration prüfen und anpassen müssen, um Missbrauch durch automatisierte Anfragen zu verhindern.
