Siber saldırganlar, 2026’nın ilk günlerinde yeni ve sinsi bir yöntemle karşımıza çıktı. Dünya genelinde binlerce şirketin müşteri destek altyapısını sağlayan Zendesk, devasa bir spam ve phishing (oltalama) kampanyasının aracı haline getirildi. Saldırganlar, şirketlerin kendi güvenilir destek e-postalarını kullanarak (örneğin: support@sirketadi.zendesk.com) milyonlarca zararlı iletiyi, spam filtrelerine takılmadan kullanıcıların gelen kutusuna sokmayı başardı.
Bu saldırı, klasik bir “veri sızıntısı” değil; sistemin yasal özelliklerinin kötüye kullanılmasıdır. Tıpkı Orta Doğu Charon Fidye Yazılımı vakasında gördüğümüz gibi, saldırganlar artık doğrudan kapıyı kırmak yerine, kapının anahtarını elinde tutan sistemleri manipüle ediyor.
Saldırı Nasıl Çalışıyor?
BleepingComputer kaynaklı raporlara göre, saldırganlar Zendesk kullanan şirketlerin “bilet oluşturma” (ticket creation) özelliklerini suiistimal ediyor. Mekanizma şu şekilde işliyor:
- Sızma: Saldırgan, bir şirketin Zendesk portalına erişiyor (genellikle otomatik botlar aracılığıyla).
- Sahte Kayıt: Sisteme sahte bir kullanıcı olarak kaydoluyor veya mevcut bir açığı kullanıyor.
- Tetikleme: Saldırgan, hedeflediği kurbanın e-posta adresini “alıcı” olarak ekleyip bir destek bileti oluşturuyor.
- Teslimat: Zendesk sistemi, bu işlemin yasal bir destek talebi olduğunu düşünerek, şirketin resmi e-posta sunucuları üzerinden kurbana bir “Bildirim E-postası” gönderiyor.
- İçerik: Bu e-postanın içinde saldırganın yerleştirdiği zararlı phishing linkleri veya kripto dolandırıcılık metinleri bulunuyor.
Neden Filtrelere Takılmıyor?
Bu saldırının en tehlikeli yanı, e-postaların gerçekten güvenilir kaynaklardan gelmesidir. Google (Gmail), Microsoft (Outlook) ve kurumsal güvenlik duvarları, gelen e-postanın SPF (Sender Policy Framework) ve DKIM (DomainKeys Identified Mail) imzalarını kontrol eder. E-posta doğrudan Zendesk’in onaylı sunucularından çıktığı için bu kontrollerden “başarıyla” geçer.
Kullanıcılar, Google Drive Fidye Yazılımı Kalkanı gibi gelişmiş korumalara sahip olsa bile, e-posta güvenilir bir “Destek” adresinden geldiği için şüphelenmeden linklere tıklayabiliyor.
Teknik Karşılaştırma: Standart Phishing vs. Zendesk İstismarı
Aşağıdaki tablo, bu saldırı türünün neden geleneksel yöntemlerden daha etkili olduğunu teknik verilerle özetlemektedir:
| Özellik | Standart Phishing Saldırısı | Zendesk İstismarı (Ticket Trick) |
|---|---|---|
| Gönderici Sunucusu | Genellikle sahte veya ele geçirilmiş düşük profilli sunucular. | Yasal ve yüksek itibarlı Zendesk sunucuları. |
| SPF/DKIM Durumu | Genellikle başarısız olur veya şüpheli işaretlenir. | %100 Doğrulanmış (Pass) olarak işaretlenir. |
| Spam Klasörü | Yüksek ihtimalle Spam/Gereksiz kutusuna düşer. | Genellikle Gelen Kutusu (Inbox) ana klasörüne düşer. |
| Kullanıcı Güveni | Düşük (Adres garip görünür). | Yüksek (support@taninmis-marka.com görünümü). |
| Engelleme Yöntemi | Gönderen IP veya Domain engelleme. | Göndereni engellerseniz, o markadan gerçek destek alamazsınız. |
Sistem Yöneticileri İçin Acil Önlemler
Eğer şirketiniz Zendesk kullanıyorsa, altyapınızın bir spam topuna dönüşmemesi için şu ayarları derhal kontrol etmelisiniz:
- CAPTCHA Aktivasyonu: Kayıt olma ve bilet oluşturma formlarında CAPTCHA doğrulamasını zorunlu hale getirin. Bu, botların otomatik bilet oluşturmasını engeller.
- Anonim Biletleri Kapatın: “Herkes bilet gönderebilir” (Anyone can submit tickets) ayarını devre dışı bırakıp, sadece kayıtlı kullanıcılara izin verin.
- API İzleme: Olağandışı trafik artışlarını tespit etmek için API loglarını inceleyin.
- Şablon Kontrolü: Giden e-posta şablonlarınızda (Triggers), kullanıcının girdiği ham metnin (HTML/Link) doğrudan render edilmesini engelleyen filtreler kullanın.
Kurumsal iletişimde güvenliği sağlamak, sadece bir yazılım meselesi değil, aynı zamanda bir süreç yönetimidir. Daha geniş kapsamlı güvenlik stratejileri için E-posta Güvenliği arşivimize göz atabilirsiniz.
Sıkça Sorulan Sorular (FAQ)
1. Bu saldırı Zendesk’in hacklendiği anlamına mı geliyor?
Hayır. Zendesk’in merkezi sunucuları veya veri tabanı hacklenmedi. Saldırganlar, Zendesk’in sunduğu “otomatik e-posta bildirim” özelliğini kötüye kullanıyor. Bu bir sistem açığından ziyade, konfigürasyon zayıflıklarının istismarıdır.
2. Gelen bir e-postanın sahte Zendesk bildirimi olduğunu nasıl anlarım?
Eğer hiç iletişime geçmediğiniz bir şirketten “Biletiniz oluşturuldu” veya “Yorum eklendi” gibi bir e-posta alırsanız, içindeki linklere kesinlikle tıklamayın. E-posta adresi yasal görünse bile, içerik saldırgan tarafından yazılmış olabilir.
3. Şirketim bu saldırıdan etkilenirse ne yapmalıyım?
Öncelikle Zendesk panelinden “Asılı kalan” (Suspended) biletleri kontrol edin. Toplu bir silme işlemi yapın ve geçici olarak dışarıdan bilet oluşturmayı durdurun. Ardından Zendesk destek ekibiyle iletişime geçerek IP bloklaması talep edin.
Önemli Çıkarım: Güvenlik duvarları ve spam filtreleri, “güvenilir” kabul edilen kaynaklardan gelen tehditlere karşı genellikle kördür. Bu saldırı, siber güvenliğin sadece dışarıdan gelen tehditlere değil, içerideki araçların nasıl kullanıldığına da odaklanması gerektiğini kanıtlıyor.
Sonuç
Zendesk istismarı, 2026 yılının siber güvenlik trendlerinin “güven suiistimali” üzerine kurulacağını gösteriyor. Şirketler, kullandıkları SaaS (Hizmet Olarak Yazılım) araçlarının varsayılan ayarlarını mutlaka gözden geçirmeli. Bir saldırganın sizin sunucularınızı kullanarak müşterilerinize saldırması, yaşanabilecek en büyük itibar kayıplarından biridir.
