Se esta manhã você encontrou a bandeja de entrada cheia de mensagens estranhas com assuntos como "Activate your account" ou notificações de suporte de empresas que você nem sequer conhece, você não está sozinho. Nas últimas horas voltaram a multiplicar-se os e-mails automáticos gerados por sistemas de atendimento ao cliente mal configurados, e aqueles que investigam o fenômeno apontam para instâncias do Zendesk que permitem a criação de tickets sem verificação.
A mecânica é simples e perigosa: muitas plataformas de atendimento ao cliente enviam automaticamente um e-mail de confirmação para o endereço introduzido em um formulário de suporte. Se esse formulário aceita entradas sem restrições, um atacante pode enviar milhares de pedidos com endereços externos e provocar que os servidores legítimos de empresas enviem avalanches de correios para terceiros. Esse uso perverso de portais legítimos explica por que as mensagens conseguem sortear filtros antispam e aterram diretamente na bandeja principal.
Pesquisadores e usuários em redes sociais documentaram a nova onda. O especialista em segurança Jonathan Leitschuh compartilhou em sua publicação no LinkedIn Como seu e-mail foi usado para inundar sistemas de tickets em toda a internet, e várias contas em X mostraram exemplos de conteúdo e rapidez com que chegam as mensagens. A própria imprensa especializada já conectou este reavivamento com uma campanha prévia ocorrida em janeiro que afetou múltiplas empresas; nesse episódio demonstrou-se que instâncias do Zendesk poderiam se tornar "relays" de spam ao aceitar pedidos de ticket sem restrições, segundo relatos técnicos publicados em mídia como BleepingComputer.
O Zendesk reconheceu o problema anteriormente e publicou avisos para clientes explicando o abuso que denomina "relay spam". Em um comunicado técnico disponível em seu centro de ajuda são descritos passos e boas práticas para mitigar esse tipo de abuso, como restringir quem pode criar tickets e remover marcadores de posição que permitem enviar e-mails a qualquer endereço. Você pode ler suas recomendações na nota oficial do Zendesk sobre o incidente em seu artigo de suporte, e nas guias práticas sobre como limitar a criação de tickets e combater spam: permissões para criar tickets e dicas para proteger seu negócio.
O que isso significa para os usuários? Primeiro, que a presença do logótipo ou do domínio de uma empresa num e-mail não garante que a mensagem seja legítima: neste caso concreto, as empresas não estão enviando uma fraude dirigida, mas os seus próprios sistemas de suporte estão sendo manipulados para enviar confirmações massivas. Ainda assim, convém manter a precaução habitual: evite carregar links ou baixar anexos de e-mails inesperados, verifique os cabeçalhos se você sabe como fazê-lo e marca como spam as remessas repetidas. Se a avalanche vem de um serviço que reconhece como cliente, uma chamada rápida ou uma busca na conta oficial da empresa costuma confirmar se se trata de um erro conhecido.
Para administradores e equipamentos de segurança que gerem portais de suporte, a prioridade é rever a configuração. Limitar a criação de tickets a usuários verificados, implementar controles de taxa (rate limiting), habilitar captchas e revisar modelos que aceitem qualquer direção como marcador de posição reduz em grande medida a superfície de abuso. Também é recomendável ativar alertas de atividade incomum e coordenar com o fornecedor para aplicar controles adicionais em picos atípicos de tráfego. O Zendesk afirma ter implantado monitoramento e limites adicionais após os incidentes anteriores, mas os golpes de desempenho mostram que a batalha entre operadores de plataformas e abusadores pode exigir ajustes contínuos.
Do ponto de vista da indústria, o episódio lembra que os serviços que gerem comunicações legítimas — plataformas de ticketing, sistemas de notificação, fornecedores de correio — podem tornar-se sem quererem amplificadores de abuso se os seus controles forem laxos. É uma chamada de atenção para que as empresas revejam as integrações e as políticas por defeito que, muitas vezes, priorizam facilidade de uso sobre segurança. Um reforço razoável de autenticação e verificação nos pontos de entrada evita enormes inconvenientes a clientes alheios e protege a reputação do próprio remetente.
Enquanto isso, os meios e os peritos continuam a documentar a actividade e a pedir transparência sobre as medidas tomadas. Se você quiser seguir um dos primeiros sinais do rebrote, pode consultar o seguimento de BleepingComputer mencionado acima, ou ver as publicações de usuários que compartilharam capturas e exemplos em redes como X e LinkedIn para entender a magnitude do problema.
Em suma, a repetição dessas ondas obriga a manter duas linhas claras: por um lado, a prudência do usuário final ante e-mails inesperados; por outro, a responsabilidade técnica das empresas para fechar as portas que permitem converter portais legítimos em relays de spam. Até que as protecções sejam universais e robustas, é provável que vejamos mais episódios semelhantes, e a colaboração entre fornecedores, equipamentos de segurança e usuários continuará a ser a melhor defesa.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...