Эксперты предупреждают о массовом использовании Amazon SES для фишинговых атак

Специалисты по кибербезопасности фиксируют рост числа фишинговых атак, проводимых через сервис массовой рассылки Amazon Simple Email Service (SES). Злоумышленники используют скомпрометированные учетные данные облачной платформы для обхода систем защиты и доставки вредоносных сообщений напрямую в почтовые ящики пользователей.

Механизм атаки

Согласно отчету компании Kaspersky, преступники получают доступ к Amazon Web Services (AWS) путем поиска открытых ключей в общедоступных репозиториях, файлах конфигурации .ENV, образах Docker и незащищенных хранилищах S3. После получения контроля над учетной записью злоумышленники проверяют лимиты на отправку писем и начинают масштабные рассылки.

Основная опасность заключается в легитимности самого сервиса Amazon SES. Поскольку письма отправляются через доверенную инфраструктуру, они успешно проходят стандартные проверки безопасности:

• SPF (Sender Policy Framework) — протокол подтверждения права отправителя на рассылку от имени домена.
• DKIM (DomainKeys Identified Mail) — механизм цифровой подписи писем для защиты от подделки.
• DMARC (Domain-based Message Authentication, Reporting, and Conformance) — политика обработки писем, не прошедших проверку.

Благодаря этому фишинговые сообщения не попадают в спам, а блокировка по IP-адресу оказывается неэффективной, так как это привело бы к блокировке всей почтовой инфраструктуры Amazon.

Тактика злоумышленников

В ходе атак используются профессионально оформленные шаблоны, имитирующие уведомления от известных сервисов или корпоративные документы. Темы сообщений варьируются от фальшивых запросов на подпись документов в DocuSign до схем мошенничества, направленных на сотрудников компаний (Business Email Compromise). Эксперты отмечают, что использование облачного сервиса избавляет преступников от необходимости создавать собственные домены и настраивать почтовые серверы, позволяя мгновенно рассылать тысячи писем.

Рекомендации по защите

Для минимизации рисков эксперты советуют компаниям пересмотреть подходы к управлению доступом в облачной среде:

• Применять принцип наименьших привилегий при настройке прав доступа IAM.
• Отказаться от использования долгоживущих ключей доступа в пользу ролей AWS.
• Обязательно включить многофакторную аутентификацию для всех учетных записей.
• Настроить ограничения доступа по IP-адресам и автоматическую ротацию ключей.
• Использовать AWS Key Management Service для централизованного шифрования и управления ключами.

* — деятельность компании запрещена на территории РФ

Твитнуть