Phishing über Amazon SES: Angreifer missbrauchen gestohlene AWS-Zugangsschlüssel

Zusammenfassung

Der Amazon Simple Email Service (SES) wird laut einem aktuellen Bericht von Kaspersky verstärkt für Phishing-Kampagnen missbraucht. Weil SES ein legitimer, als vertrauenswürdig eingestufter Dienst ist, passieren darüber versendete Schadmails die üblichen Authentifizierungsprüfungen und unterlaufen Sperren, die auf der Reputation des Absenders beruhen. Standard-Sicherheitsfilter greifen damit ins Leere. Den Auslöser für den beobachteten Anstieg sehen die Forscher in der wachsenden Zahl offengelegter AWS-Zugangsschlüssel. Diese tauchen in öffentlich erreichbaren Ressourcen auf – in GitHub-Repositories, .ENV-Dateien, Docker-Images, Backups und frei zugänglichen S3-Buckets. Angreifer suchen diese Schlüssel automatisiert, häufig mit Bots auf Basis des quelloffenen Werkzeugs TruffleHog, das eigentlich zum Aufspüren geleakter Geheimnisse dient. Die Qualität der Phishing-Mails ist nach Einschätzung von Kaspersky hoch: Die Angreifer verwenden eigene HTML-Vorlagen, die echte Dienste nachahmen, samt realistisch wirkender Anmeldeabläufe. Beobachtet wurden unter anderem gefälschte Signaturbenachrichtigungen im Stil von DocuSign sowie fortgeschrittene Angriffe auf Geschäfts-E-Mail-Konten (Business E-Mail Compromise).

Amazon SES war bereits in der Vergangenheit Ziel von Missbrauch. Den jüngsten Anstieg führen die Kaspersky-Forscher jedoch auf die große Menge an AWS-Zugangsschlüsseln für das Identitäts- und Zugriffsmanagement (IAM) zurück, die in öffentlich erreichbaren Ressourcen offenliegen. In ihrem Bericht sprechen sie von einer „Zunahme von Phishing-Angriffen, die Amazon SES ausnutzen“, um Links zu verteilen, die auf bösartige Seiten weiterleiten.

Der Ablauf ist weitgehend automatisiert. Bots auf Basis des quelloffenen Werkzeugs TruffleHog durchsuchen öffentliche Quellen nach geleakten Schlüsseln. Anschließend prüfen die Angreifer die Berechtigungen des Schlüssels und die jeweiligen Versandlimits. „Nachdem die Berechtigungen des Schlüssels und die Sendelimits geprüft wurden, können die Angreifer eine enorme Menge an Phishing-Nachrichten verbreiten“, erklärt Kaspersky. Automatisierte Abläufe verbinden das Aufspüren der Geheimnisse, die Prüfung der Rechte und den Massenversand zu einer durchgängigen Kette.

Inhaltlich reichen die beobachteten Kampagnen von gefälschten Signaturbenachrichtigungen, die DocuSign imitieren und Opfer auf bei AWS gehostete Phishing-Seiten lotsen, bis zu aufwendigeren Angriffen auf Geschäfts-E-Mail-Konten. Dabei erfinden die Täter ganze E-Mail-Verläufe, um ihre Nachrichten glaubwürdiger erscheinen zu lassen, und verschicken gefälschte Rechnungen, um Finanzabteilungen zu Zahlungen zu verleiten.

Der zentrale Vorteil für die Angreifer: Über Amazon SES müssen sie sich um Authentifizierungsverfahren wie SPF, DKIM und DMARC nicht mehr kümmern. Auch das Sperren der versendenden IP-Adressen ist keine praktikable Gegenmaßnahme, da dies sämtliche über Amazon SES laufende E-Mails blockieren würde.

Kaspersky weist darauf hin, dass sich die Angreifer nicht allein auf Amazon SES beschränken, sondern fortlaufend versuchen, auch andere legitime E-Mail-Systeme für den Versand von Phishing zu missbrauchen. Als Schutzmaßnahmen empfiehlt das Unternehmen, IAM-Berechtigungen nach dem Prinzip der geringsten Rechte zu beschränken, Mehr-Faktor-Authentifizierung zu aktivieren, Schlüssel regelmäßig zu rotieren sowie IP-basierte Zugriffsbeschränkungen und Verschlüsselungskontrollen einzusetzen.

Amazon verwies gegenüber BleepingComputer auf seine Sicherheitshinweise zu offengelegten Zugangsdaten und zum Schutz vor unbefugtem Kontozugriff. „Wer den Verdacht hat, dass AWS-Ressourcen für missbräuchliche Aktivitäten genutzt werden, kann dies an AWS Trust & Safety melden“, sagte ein AWS-Sprecher.

Phishing über Amazon SES: Angreifer missbrauchen gestohlene AWS-Zugangsschlüssel

Ähnliche Artikel

Neueste Artikel