PhishingCloud-SicherheitHackerangriffe

Amazon SES im Visier: Kriminelle missbrauchen AWS-Dienst für Phishing-Kampagnen

Von CyberDeutsch Redaktion
Amazon SES im Visier: Kriminelle missbrauchen AWS-Dienst für Phishing-Kampagnen
Zusammenfassung

Sicherheitsforschende von Kaspersky haben einen besorgniserregenden Trend dokumentiert: Amazons Simple Email Service (SES) wird zunehmend von Cyberkriminellen missbraucht, um täuschend echte Phishing-E-Mails zu versenden, die Standard-Sicherheitsfilter und reputationsbasierte Sperren umgehen können. Der Anstieg dieser Angriffe ist vermutlich auf eine große Anzahl von AWS-Zugriffsschlüsseln zurückzuführen, die in öffentlich zugänglichen Assets wie GitHub-Repositories, .ENV-Dateien und Docker-Images exponiert wurden. Da Amazon SES ein legitimer und vertrauenswürdiger Dienst ist, können Angreifer ihn für Phishing-Kampagnen nutzen, ohne die typischen E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARC umgehen zu müssen. Dies macht die Attacken besonders wirksam. Für deutsche Nutzer, Unternehmen und Behörden ist dies relevant, da solche Phishing-Angriffe auch hierzulande zunehmen und insbesondere von Kriminellen für Business-Email-Compromise-Anschläge und Betrugsmöglichkeiten ausgenutzt werden. Kaspersky warnt vor hochqualitativen, maßgeschneiderten Phishing-Vorlagen und empfiehlt Organisationen, AWS-Zugriffsschlüssel besser zu schützen, Multi-Faktor-Authentifizierung zu aktivieren und Zugriffspermissionen nach dem Least-Privilege-Prinzip zu beschränken.

Der Missbrauch von Amazon SES stellt eine neue Dimension der Phishing-Bedrohung dar. Während der Dienst schon früher für bösartige Zwecke genutzt wurde, hat Kaspersky nun einen signifikanten Anstieg dokumentiert – offenbar ausgelöst durch die massenhafte Exposition von AWS Identity and Access Management (IAM) Schlüsseln in öffentlichen Repositories und Cloud-Speichern.

Automatisierte Jagd nach Credentials

Die Angreifer nutzen das Open-Source-Tool TruffleHog, um systematisch nach AWS-Zugangsdaten zu scannen. Diese werden typischerweise in GitHub-Commits, .ENV-Dateien, Docker-Images, Backups oder S3-Buckets gefunden. Mit automatisierten Bots validieren die Kriminellen die Berechtigungen und E-Mail-Versandlimits, bevor sie in großem Stil Phishing-Kampagnen starten.

Hochwertige Fälschungen als Standard

Was Kaspersky besonders beunruhigt: Die Qualität der Phishing-Mails ist extrem gestiegen. Custom-HTML-Templates imitieren renommierte Dienste wie DocuSign. Die Angreifer konstruieren ganze gefälschte E-Mail-Threads, um Glaubwürdigkeit zu erwecken, und versenden gefälschte Rechnungen an Finanzabteilungen – klassische Business-Email-Compromise-Techniken auf neuem Niveau.

Das Authentifizierungs-Problem

Das Kernproblem: Amazon SES ist ein vertrauenswürdiger Service mit etabliertem Ruf. E-Mails, die darüber versendet werden, passieren Authentifizierungsprüfungen wie SPF, DKIM und DMARC. IP-basierte Blockierungen sind keine Option, da sie legitimen SES-Traffic lahmlegen würden.

Forderungen an IT-Verantwortliche

Kaspersky empfiehlt deutschen Unternehmen konkrete Maßnahmen: IAM-Berechtigungen nach dem Least-Privilege-Prinzip beschränken, Multi-Faktor-Authentifizierung aktivieren, Zugriffsschlüssel regelmäßig rotieren und IP-basierte Zugriffsbeschränkungen implementieren.

Amazon betont, dass Nutzer verdächtige Aktivitäten dem AWS Trust & Safety Team melden können. Das Unternehmen reagiere zügig auf Hinweise zu Verstößen gegen die Nutzungsbedingungen. Trotzdem: Das Kernproblem bleibt – zu viele entwickler speichern ihre Credentials unsicher und öffentlich zugänglich. Für deutsche Behörden und Unternehmen ist dies eine Erinnerung, dass Cloud-Sicherheit beim eigenen Zugriffsmanagement beginnt.

Ähnliche Artikel