Нарастваща злоупотреба с доверена инфраструктура

Ново изследване на Kaspersky разкрива тревожна тенденция – масово използване на Amazon Simple Email Service (SES) за разпространение на висококачествени фишинг кампании. Като легитимна и широко използвана услуга, SES позволява на атакуващите да заобикалят традиционни защитни механизми, включително проверки като SPF, DKIM и DMARC.

Това поставя организациите в сложна ситуация – блокирането на подобен източник би означавало прекъсване на реални бизнес комуникации, което прави атаките особено ефективни и трудни за филтриране.

Основната причина – изтекли AWS ключове

Според анализа, ключов фактор за ръста на тези атаки е изтичането на AWS Identity and Access Management (IAM) ключове. Те често се откриват в:

• публични GitHub репозитории
• .ENV конфигурационни файлове
• Docker образи
• резервни копия
• неправилно защитени S3 кофи

Атакуващите използват автоматизирани инструменти като TruffleHog, за да откриват такива чувствителни данни, след което валидират правата им и започват масово изпращане на имейли.

Автоматизация и мащаб на атаките

Фишинг операциите вече са силно автоматизирани. След като бъде компрометиран ключ:

• проверяват се лимитите за изпращане
• валидират се разрешенията
• стартира се мащабна кампания

Това позволява на атакуващите да достигнат до хиляди или милиони получатели за кратко време, използвайки напълно легитимна инфраструктура.

Все по-убедителни фишинг сценарии

Атаките, наблюдавани от Kaspersky, включват:

• фалшиви известия за подписване на документи, имитиращи DocuSign
• фалшиви фактури към финансови отдели
• цели имейл нишки, създадени за доверие (BEC атаки)

Фишинг страниците често се хостват в AWS, което допълнително увеличава доверието и намалява вероятността за блокиране.

Защо традиционната защита не работи

Класическите защити се оказват неефективни, защото:

• имейлите идват от доверена услуга
• преминават всички стандартни проверки
• IP блокиране не е приложимо
• съдържанието е персонализирано и трудно за откриване

Това показва ясно преминаване към злоупотреба с легитимни платформи вместо използване на очевидно злонамерена инфраструктура.

Как да се защитят организациите

Експертите препоръчват прилагане на базови, но критични мерки:

• прилагане на принципа „минимални привилегии“ за IAM
• активиране на многофакторна автентикация
• редовна ротация на ключове
• ограничаване на достъпа по IP
• криптиране и мониторинг на активност

Освен това организациите трябва да засилят контрола върху изходящия трафик и да анализират поведението, а не само източника на имейлите.

Извод: доверените платформи вече са новият фронт

Тази тенденция показва фундаментална промяна в заплахите. Вместо да атакуват директно системите, киберпрестъпниците използват легитимни услуги като Amazon Simple Email Service, за да изглеждат напълно автентични.

Фокусът вече не трябва да бъде само върху блокиране на заплахи, а върху контрол на достъпа, защита на идентичностите и поведенчески анализ.