Amazon SES сè повеќе се злоупотребува за фишинг со цел избегнување на детекција

Amazon Simple Email Service (SES) сè почесто се злоупотребува за испраќање убедливи фишинг пораки кои можат да ги заобиколат стандардните безбедносни филтри и да ги направат неефикасни блокадите базирани на репутација.

Иако оваа услуга била користена за злонамерни активности и во минатото, сегашниот пораст најверојатно се должи на голем број AWS Identity and Access Management (IAM) пристапни клучеви кои биле изложени во јавни ресурси.

Бидејќи станува збор за легитимна и доверлива услуга, фишинг операциите можат да го искористат Amazon SES за испраќање малициозни е-пораки кои успешно ги поминуваат проверките за автентикација.

Истражувачите од Kaspersky во денешен извештај наведуваат дека „забележале зголемување на фишинг напади кои го користат Amazon SES“ за испорака на линкови што ги пренасочуваат корисниците кон злонамерни веб-страници.

Истражувачите сметаат дека главниот двигател на оваа злоупотреба е сè поголемата изложеност на AWS акредитации во GitHub репозиториуми, .ENV датотеки, Docker слики, бекапи и јавно достапни S3 bucket-и.

Пронаоѓањето на пристапните клучеви најчесто се изведува автоматизирано, со помош на ботови базирани на open-source алатката TruffleHog, која е дизајнирана да скенира за протечени тајни податоци.

Напаѓачите денес се потпираат на автоматизирани напади кои го поедноставуваат скенирањето на тајни, проверката на дозволи и дистрибуцијата на е-пошта, овозможувајќи досега невидени нивоа на злоупотреба.

„Откако ќе се потврдат дозволите и лимитите за испраќање е-пошта на клучот, напаѓачите се подготвени да испратат масовни количини фишинг пораки,“ објаснува Kaspersky.

Според нивните наоди, квалитетот на фишинг пораките е висок, со прилагодени HTML шаблони кои имитираат вистински сервиси и реалистични процеси за најава.

Забележаните напади вклучуваат лажни известувања за потпишување документи кои го имитираат DocuSign, со цел да ги насочат жртвите кон AWS-хостирани фишинг страници, како и понапредни напади за компромитирање на деловна е-пошта (BEC).

Напаѓачите создаваат цели лажни е-пошта разговори за да ги направат пораките поверодостојни и испраќаат лажни фактури со цел да ги измамат финансиските оддели да извршат плаќања.

Со користење на Amazon SES, напаѓачите повеќе не мора да се грижат за проверки на автентичност како SPF, DKIM и DMARC протоколите.

Дополнително, блокирањето на IP адресите од кои се испраќаат фишинг е-пораките не е прифатливо решение, бидејќи би го оневозможило примањето на сите е-пораки што доаѓаат преку Amazon SES.

Напаѓачките групи не се фокусираат само на Amazon SES. Тие постојано бараат начини да злоупотребат и други легитимни системи за е-пошта со цел да испраќаат фишинг пораки.

Kaspersky препорачува компаниите да ги ограничат IAM дозволите според принципот „најмалку привилегии“, да овозможат повеќефакторска автентикација, редовно да ги ротираат клучевите и да применуваат IP-базирани ограничувања и контроли за енкрипција.

Во изјава за BleepingComputer, Amazon упати на своите безбедносни насоки за справување со изложени акредитации и заштита од неовластен пристап до сметки.

„Ако некој се сомнева дека AWS ресурси се користат за злоупотреба, може да го пријави тоа до AWS Trust & Safety,“ изјави AWS портпарол за BleepingComputer.

Извори:

• Bleeping Computer – Amazon SES increasingly abused in phishing to evade detection Bleeping Computer