Thought Leadership
Seit dem 18. Januar werden Nutzer weltweit mit Hunderten automatisch generierter E-Mails überschwemmt. Angreifer nutzen eine Schwachstelle in der Konfiguration von Kundenservice-Plattformen aus.
Eine weltweite Spam-Kampagne sorgt derzeit für Aufsehen: Nutzer berichten über eine Flut automatisierter E-Mails mit teils beunruhigenden Betreffzeilen. Die Nachrichten stammen von legitimen Support-Systemen bekannter Unternehmen, die auf der Plattform Zendesk basieren.
Automatisierte Ticketsysteme als Einfallstor
Die Ursache der Spam-Welle liegt in einer Konfigurationslücke: Viele Unternehmen erlauben es nicht registrierten Nutzern, Support-Tickets einzureichen, ohne ihre E-Mail-Adresse zu verifizieren. Zendesk versendet daraufhin automatisch Bestätigungsmails an die angegebene Adresse. Genau diese Funktion machen sich die Angreifer zunutze, indem sie massenhaft gefälschte Tickets mit beliebigen Empfängeradressen erstellen.
Betroffen sind die Zendesk-Instanzen zahlreicher namhafter Unternehmen, darunter Discord, Tinder, Riot Games, Dropbox, CD Projekt und NordVPN.
Verwirrende Inhalte ohne erkennbare Schadsoftware
Die Betreffzeilen der Spam-Mails reichen von vermeintlichen Behördenanfragen über angebliche Takedown-Anordnungen bis hin zu Angeboten für kostenloses Discord Nitro, wie BleepingComputer berichtet. Manche enthalten lediglich Hilferufe wie “Help Me!”, andere bleiben komplett leer oder bestehen aus Unicode-Zeichenketten in verschiedenen Sprachen.
Obwohl die Mails keine Phishing-Links oder erkennbare Schadsoftware enthalten, ist ihr Effekt beträchtlich: Da sie von vertrauenswürdigen Unternehmensdomains stammen, passieren sie problemlos Spam-Filter und landen direkt im Posteingang der Empfänger. Die Motivation der Angreifer scheint primär darin zu bestehen, für Verwirrung zu sorgen.
Unternehmen informieren Kunden
Mehrere betroffene Firmen, darunter Dropbox und 2K, haben mittlerweile reagiert und ihre Kunden informiert. 2K erklärte, dass das Supportsystem bewusst ohne Registrierungspflicht konzipiert sei, um den Zugang zu erleichtern. Man bearbeite jedoch keine sensiblen Anfragen ohne authentifizierte Bestätigung durch den tatsächlichen Kontoinhaber.
Zendesk selbst teilte gegenüber BleepingComputer mit, neue Sicherheitsmechanismen implementiert zu haben. Dazu gehören verbessertes Monitoring und Limits zur schnelleren Erkennung ungewöhnlicher Aktivitäten. Das Unternehmen hatte bereits im Dezember in einem Advisory vor dieser Form des Missbrauchs gewarnt, die intern als “Relay-Spam” bezeichnet wird.
Prävention liegt bei den Betreibern
Um künftige Angriffe zu verhindern, empfiehlt Zendesk seinen Kunden, die Ticket-Erstellung auf verifizierte Nutzer zu beschränken und entsprechende Konfigurationsoptionen anzupassen. Damit ließe sich verhindern, dass beliebige E-Mail-Adressen für die automatisierte Ticket-Erstellung missbraucht werden können.
