Amazon SES kao vrata za fišing: napadači zloupotrebljavaju AWS servise za zaobilaženje filtera
Napadači zloupotrbljavaju Amazon SES za slanje fišing poruka koristeći izložene AWS ključeve sa javnih platformi.
Šta se desilo?
Amazon Simple Email Service (SES) postaje sve popularniji alat u rukama napadača za slanje ubedljivih fišing poruka. Prema istraživanju Kasperskog, oscilacije u zloupotrabi su povezane sa ekspozicijom AWS identifikacijskih ključeva na javno dostupnim platformama poput GitHub-a, što omogućava napadačima da se lako autentifikuju i koriste legitimni Amazon servis za rasecanje malicioznih e-poruka.
Koga pogađa?
Riziku su izloženi svi korisnici e-pošte koji primaju poruke preko Amazon SES servisa. Posebno su ugrožene kompanije čiji zaposleni mogu biti meta fišing kampanja koje imitiraju poznate servise poput DocuSign-a. Dodatno, finansijski odseci preduzeća su često meta naprednih BEC (Business Email Compromise) napada koji koriste fabrikovane dokumente i lažne faktore za prevaru.
Kako se zaštititi?
- Omogućite dvofaktorsku autentifikaciju na svim AWS računima
- Redovno rotacije AWS ključeve i pristupne kredencijale
- Koristite IAM dozvole prema principu najmanje privilegije - ograničite pristup samo potrebnim servisima
- Implementirajte IP-bazirane kontrole i enkripciju za dodatnu zaštitu
- Skanujte javne repozitorijume (GitHub, GitLab) za slučajno otkrivene AWS ključeve
- Bujte oprezni pri otvaranju e-poruka koje vas pozivaju na hitne akcije ili potpisivanje dokumenata
- Proverite autentičnost pošiljaoca, posebno za kritične poslovne e-poruke
- Prijavite sumnjive AWS resurse AWS Trust & Safety timu
Tehnički detalji
Napadači koriste open-source alat TruffleHop za automatsko skeniranje GitHub repozitorijuma, .ENV datoteka, Docker slika i S3 bucket-a u potrazi za izloženim AWS pristupnim ključevima. Automatizovani botovi omogućavaju brzu validaciju dozvola, proveru limita slanja e-pošte i distribuciju masivnih količina fišing poruka. Fišing poruke imaju visok kvalitet sa prilagođenim HTML šablonima koji imitiraju legitimne servise. Problematično je što blokirane IP adrese nisu efikasno rešenje jer bi otključale sve e-poruke poslate preko Amazon SES-a, a napadači izbjegavaju standardne provere autentičnosti kao što su SPF, DKIM i DMARC protokoli.
Preporuka Sajber Radara
Auditurajte svoju AWS konfiguraciju i negativno proverite da li su vaši ključevi slučajno otkriveni na javnim platformama. Implementirajte stroge kontrole pristupa i multi-faktor autentifikaciju kao kritično važne mere zaštite. Edukujte zaposlenike da prepoznaju fišing poruke i budu oprezni pri interakciji sa neočekivanim zahtevima za akciju ili finansijskim transakcijama.
