Die Kaspersky-Forscher berichten von einem deutlichen Anstieg an Phishing-Angriffen, die Amazon SES als Versandkanal missbrauchen. Die Angreifer nutzen dabei eine automatisierte Vorgehensweise: Sie scannen mit Tools wie dem Open-Source-Utility TruffleHog nach geleakten AWS-Secrets, validieren die Berechtigungen und Versandlimits der erbeuteten Schlüssel und starten dann massenhaft Phishing-Kampagnen.
Die Qualität dieser Attacken ist erschreckend hoch. Die Angreifer erstellen maßgeschneiderte HTML-Templates, die etablierte Dienste wie DocuSign täuschend echt nachahmen, und leiten Opfer auf AWS-gehostete Phishing-Seiten weiter. Besonders tückisch: Sie fabrizieren ganze E-Mail-Threads, um den Nachrichten maximale Glaubwürdigkeit zu verleihen, und versenden gefälschte Rechnungen, um Finanzabteilungen zu betrügen.
Ein entscheidender Vorteil für Kriminelle liegt darin, dass IP-basierte Blockierungen nicht praktikabel sind – würde man die Angreifer-IPs sperren, wären auch alle legitimen Amazon SES-Nutzer betroffen. Das macht die Bedrohung für alle Unternehmen, die Amazon SES nutzen, erheblich.
Kaspersky empfiehlt präventive Maßnahmen nach dem Least-Privilege-Prinzip: Beschränken Sie IAM-Berechtigungen konsequent, aktivieren Sie Multi-Faktor-Authentifizierung, rotieren Sie Zugangschlüssel regelmäßig und implementieren Sie IP-basierte Zugriffsbeschränkungen sowie Verschlüsselung. Für deutsche Unternehmen ist es zudem ratsam, das BSI-Whitepaper zu AWS-Sicherheit zu konsultieren.
Amazon selbst verweist auf seine Sicherheitsleitlinien und fordert Nutzer auf, verdächtige Aktivitäten über AWS Trust & Safety zu melden. Doch die Verantwortung liegt auch bei den Entwicklern und DevOps-Teams: AWS-Credentials gehören niemals in Version-Control-Systeme, Docker-Images oder Backup-Dateien.