La société de cybersécurité Kaspersky signale une hausse marquée des attaques de phishing exploitant le service Amazon SES pour diffuser des messages malveillants contournant les filtres de sécurité habituels.
Ce service légitime permet aux cybercriminels d’envoyer des emails authentifiés qui échappent aux blocages basés sur la réputation.
Les experts de Kaspersky attribuent cette recrudescence à la multiplication des clés d’accès AWS IAM divulguées dans des dépôts GitHub, fichiers .ENV, images Docker, sauvegardes et seaux S3 accessibles publiquement.
Source: Kaspersky
Des bots automatisés, fondés sur l’outil open-source TruffleHog, repèrent ces secrets exposés, valident les permissions et les limites d’envoi, avant de propager des volumes massifs de courriels piégés.
Les campagnes observées affichent un niveau élevé de sophistication, avec des gabarits HTML personnalisés reproduisant fidèlement des plateformes authentiques et des parcours de connexion plausibles.
Parmi les exemples figurent des notifications frauduleuses de signature de documents imitant DocuSign, redirigeant vers des pages de phishing hébergées sur AWS, ou des opérations de compromis d’email professionnel (BEC).
Source: Kaspersky
Les assaillants recréent des chaînes d’emails complètes et des factures falsifiées pour duper les services financiers.
Grâce à Amazon SES, ces messages évitent les vérifications SPF, DKIM et DMARC. Bloquer les adresses IP émettrices reste inefficace, car cela intercepterait tous les envois légitimes du service.
Les acteurs malveillants explorent également d’autres systèmes d’email légitimes pour leurs campagnes.
Kaspersky préconise d’appliquer le principe du moindre privilège pour les permissions IAM, d’activer l’authentification multifacteur, de renouveler périodiquement les clés, et d’instaurer des restrictions d’accès par IP ainsi que des contrôles de chiffrement.
Amazon insiste sur ses directives de sécurité face aux fuites de credentials et aux accès non autorisés. L’entreprise réagit promptement aux signalements de violations des conditions d’utilisation. Un porte-parole précise que tout soupçon d’abus des ressources AWS peut être rapporté à AWS Trust & Safety.