Weltweit berichten Nutzer über eine ungewöhnliche Welle von Spam, die nicht von typischen Spammer-Domains, sondern von legitimen Support-Adressen realer Unternehmen versendet wird. Die Mails stammen aus Kundensupport-Systemen auf Basis der Plattform Zendesk, enthalten teils absurde oder alarmierende Betreffzeilen und treffen in hoher Zahl ein – oft dutzend- oder gar hunderte Male – meist ohne offensichtliche Malware oder klassische Phishing-Links.
Zendesk-Relay-Spam: Beginn und Besonderheiten der neuen Spam-Welle
Erste Berichte über die Flut automatischer Support-Mails tauchten nach Angaben von Nutzern und Fachmedien um den 18. Januar in sozialen Netzwerken auf. Charakteristisch ist, dass es sich formal um legitime Transaktionsmails handelt: automatische Antworten auf angeblich neu erstellte Support-Tickets. Technisch versenden also reale Unternehmen – und die Infrastruktur von Zendesk selbst – die Nachrichten, nicht klassische Spammer mit Wegwerfdomains.
Inhaltlich sind die Nachrichten meist harmlos, doch ihr Volumen erzeugt massiven Informationslärm. Das erschwert die Bearbeitung des Posteingangs und erhöht das Risiko, dass Empfänger aus Stress unüberlegt auf Links klicken oder auf vermeintlich dringende Tickets reagieren.
Angriffstechnik: Wie Relay-Spam über Helpdesk-Plattformen funktioniert
Offene Ticketformulare als Einfallstor für Spam-Kampagnen
Viele Organisationen erlauben in Zendesk die Erstellung von Tickets ohne Registrierung und ohne Verifikation der E-Mail-Adresse. Das senkt die Hürde für legitime Kundenanfragen, öffnet aber zugleich Angriffsfläche: Kriminelle senden massenhaft Anfragen über diese öffentlichen Formulare und tragen im Feld „E-Mail“ große Listen fremder Adressen ein. Jede so „eingereichte“ Anfrage erzeugt automatisch ein Ticket – und damit eine Bestätigungs-Mail an jeden eingetragenen Empfänger.
Der Effekt: Das Helpdesk-System fungiert als Relay, also als vertrauenswürdiger Weiterleitungsdienst für Spam. Ähnliche Missbrauchsmuster sind aus falsch konfigurierten Mailservern bekannt, werden nun aber auf moderne Support- und Ticket-Plattformen übertragen.
Warum herkömmliche Spamfilter die Nachrichten durchlassen
Aktuelle E-Mail-Sicherheitssysteme bewerten Spam unter anderem anhand von Domain-Reputation, SPF-, DKIM- und DMARC-Konfiguration sowie der Historie des Absenders. Im vorliegenden Fall stammen die Mails jedoch von bekannten Marken und von Infrastruktur, die in Blacklists und Reputationsdatenbanken ein hohes Vertrauensniveau besitzt. Für Spamfilter sehen die Nachrichten wie legitime, transaktionale Support-Kommunikation aus, nicht wie Massen-Spam.
Dieses Muster entspricht klassischem Relay-Spam: Der Angreifer versendet nicht selbst, sondern nutzt die „gute Reputation“ einer dritten Plattform, um Hürden der Spamfilter zu umgehen. Für Verteidiger ist das problematisch, weil übliche Blockierregeln gegen „dubiose“ Absender hier kaum greifen, ohne gleichzeitig legitime Support-Mails zu gefährden.
Betroffene Unternehmen: Von Gaming-Plattformen bis zu Behörden
Unter den gemeldeten Organisationen, deren Support-Systeme missbraucht wurden, finden sich unter anderem Discord, Tinder, Riot Games, Dropbox, CD Projekt (2K), Maya Mobile, NordVPN, Bildungs- und Steuerbehörden des US-Bundesstaats Tennessee, Lightspeed, CTL, Kahoot, Headspace und Lime. Damit reicht das Spektrum von Entertainment über SaaS- und Fintech-Anbieter bis hin zu staatlichen Stellen.
Hinweise auf eine direkte Kompromittierung der Infrastruktur dieser Unternehmen liegen bislang nicht vor. Stattdessen nutzen Angreifer den öffentlich bereitgestellten Funktionsumfang der Helpdesk-Systeme – allerdings in einem Umfang, für den diese Systeme offensichtlich nicht hinreichend gegen Missbrauch und Automatisierung geschützt waren.
Inhalt der gefälschten Tickets: Psychologischer Druck statt Malware
Die Betreffzeilen der Mails reichen von dramatischen Hilferufen („Bitte helfen Sie mir“) über vermeintliche Anfragen von Strafverfolgungsbehörden bis hin zu angeblichen Meldungen zur Sperrung von Inhalten oder Angeboten wie „kostenlosem Discord Nitro“. Häufig werden Unicode-Symbole, fette Schrift und mehrsprachige Texte kombiniert, um in vollen Posteingängen maximal aufzufallen.
Auch ohne direkte Schadsoftware ist das sicherheitsrelevant: Studien wie der Verizon „Data Breach Investigations Report“ zeigen seit Jahren, dass ein Großteil erfolgreicher Angriffe mit Social Engineering und E-Mail-Kommunikation beginnt. Wer sich erst an diese Art „harmloser“ Support-Flut gewöhnt, ist in der Folge anfälliger für gezielte Phishing-Mails, die denselben Kanal nutzen, aber mit schädlichen Links oder Datendiebstahl verknüpft sind.
Strategische Risiken: Vorbereitung künftiger Phishing- und Social-Engineering-Kampagnen
Schätzungen verschiedener Sicherheitsanbieter zufolge besteht weiterhin ein erheblicher Anteil des weltweiten E-Mail-Verkehrs – häufig mehr als die Hälfte – aus Spam. Angreifer sind daher ständig auf der Suche nach Wegen, Filter zu umgehen und Vertrauen zu missbrauchen. Die Nutzung von Helpdesk-Plattformen ist in diesem Kontext besonders gefährlich, weil das Vertrauen in Marke und Domain-Reputation der betroffenen Unternehmen ausgenutzt wird.
Zudem können Angreifer mit solchen Kampagnen Adresslisten bereinigen, die Reaktion von Nutzern testen und das Verhalten von Spamfiltern beobachten. Diese Erkenntnisse fließen typischerweise in spätere, deutlich gefährlichere Angriffswellen ein – etwa in Form von Spear-Phishing gegen bestimmte Organisationen oder hochprofitable Business-E-Mail-Compromise-Szenarien.
Reaktion von Zendesk und empfohlene Schutzmaßnahmen für Unternehmen
Zendesk hat nach eigenen Angaben zusätzliche Schutzmechanismen gegen Relay-Spam umgesetzt, darunter verstärktes Monitoring, Limits für die Ticket-Erstellung und Systeme zur Erkennung anomaler Aktivität. Mehrere betroffene Unternehmen, etwa Dropbox und 2K, raten Kunden ausdrücklich, unerwartete Support-Mails zu ignorieren, sofern sie kein Ticket eröffnet haben, und weisen darauf hin, dass keine Kontoänderungen ohne eindeutige Verifikation vorgenommen werden.
Härtung von Kundensupport-Systemen: Technische und organisatorische Maßnahmen
Aus Sicht der Informationssicherheit sollten Unternehmen, die Zendesk oder vergleichbare Helpdesk-Plattformen nutzen, ihre Konfiguration umgehend überprüfen und anpassen:
• Ticket-Erstellung einschränken: Wo möglich, Tickets nur für verifizierte oder eingeloggte Nutzer zulassen und E-Mail-Bestätigungen (Double-Opt-In) aktivieren.
• Eingabefelder härten: Freie Felder, mit denen Absenderadresse oder Betreff manipuliert werden können, entfernen oder stark einschränken.
• Rate-Limits und Bot-Schutz: CAPTCHA, IP- und Domain-Limits sowie WAF-Regeln einsetzen, um automatisierte Massenanfragen zu blockieren.
• Protokollierung und Anomalieerkennung: Ticket-Volumen, Herkunfts-IP und Muster der Betreffzeilen kontinuierlich überwachen und bei Auffälligkeiten automatisiert reagieren.
• Strenge E-Mail-Policies: SPF, DKIM und besonders DMARC korrekt konfigurieren und schrittweise auf „reject“-Policies hinarbeiten, um Missbrauchsspielräume zu reduzieren.
Verhaltensempfehlungen für Endnutzer
Nutzer sollten automatische Support-E-Mails grundsätzlich kritisch prüfen. Wer kein Ticket eröffnet hat, sollte Links in solchen Nachrichten nicht anklicken, Anhänge nicht öffnen und sich stattdessen direkt über die offizielle Website oder App im eigenen Konto einloggen. Verdächtige Mails lassen sich im Postfach als Spam markieren oder per Filterregel aussondern.
Abschließend zeigt der Vorfall, dass jeder öffentlich zugängliche Kundenkontaktkanal als potenzieller Angriffsvektor betrachtet werden muss – nicht nur klassische Mailserver oder Webauftritte. Unternehmen sind gut beraten, ihre Helpdesk-Systeme mit denselben Maßstäben wie geschäftskritische Anwendungen zu härten und regelmäßig sicherheitstechnisch zu auditieren. Nutzer wiederum stärken ihre Cybersicherheit, indem sie Support-Mails stets über den eigenen Account gegenprüfen, Sicherheitswarnungen der Anbieter beachten und Grundlagen moderner E-Mail-Sicherheit – von Phishing-Erkennung bis Zwei-Faktor-Authentifizierung – konsequent umsetzen.
