Les cybercriminels exploitent de plus en plus le service Amazon Simple Email Service (SES) pour diffuser des e-mails de phishing sophistiqués, capables de contourner les filtres de sécurité classiques et de neutraliser les blocages basés sur la réputation.
Des chercheurs de Kaspersky signalent une hausse marquée de ces attaques, qui utilisent SES pour acheminer des liens vers des sites malveillants hébergés sur AWS.
La principale cause réside dans la multiplication des fuites de clés d’accès AWS Identity and Access Management (IAM), exposées dans des dépôts GitHub, fichiers .ENV, images Docker, sauvegardes et buckets S3 publics.
Source: Kaspersky
Des outils automatisés pour accélérer les abus
Les attaquants déploient des bots fondés sur l’outil open-source TruffleHog, spécialisé dans la détection de secrets divulgués. Ces scripts automatisent la recherche de clés, la vérification des permissions et l’envoi massif d’e-mails une fois les limites confirmées.
Les campagnes observées affichent un niveau de raffinement élevé, avec des templates HTML personnalisés reproduisant fidèlement des services légitimes et des parcours de connexion réalistes.
Parmi les tactiques repérées figurent des notifications frauduleuses de signature de documents imitant DocuSign, redirigeant vers des pages de phishing hébergées sur AWS, ainsi que des attaques de type business email compromise (BEC).
Source: Kaspersky
Pourquoi ces attaques résistent aux défenses habituelles
Grâce à la légitimité de Amazon SES, les e-mails passent les vérifications SPF, DKIM et DMARC. Bloquer les adresses IP expéditrices s’avère inefficace, car cela intercepterait tous les messages légitimes transitant par le service.
Préconisations pour se protéger
Kaspersky conseille d’appliquer le principe du moindre privilège pour les permissions IAM, d’activer l’authentification multifacteur, de renouveler régulièrement les clés, et d’instaurer des restrictions d’accès par IP ainsi que des contrôles de chiffrement.