A Kaspersky kutatói szerint a kiberbűnözők egyre gyakrabban használják ki az Amazon Simple Email Service (SES) szolgáltatást olyan adathalász e-mailek terjesztésére, amelyek képesek megkerülni a hagyományos védelmi mechanizmusokat.

Az adathalász kampányok elsődleges célja, hogy az észlelést elkerülve rávegyék az áldozatokat az érzékeny adataik megadására. Ennek érdekében a támadók folyamatosan finomítják módszereiket, köztes átirányítást tartalmazó hivatkozásokat (redirect links), QR-kódokat, valamint újabban megbízható felhőinfrastruktúrát használnak.

Az SES egy legitim, felhőalapú e-mailküldő szolgáltatás, amelyet széles körben használnak tranzakciós és marketingkommunikációra. Az Amazon SES integrálható az Amazon Web Services (AWS) környezetbe, és úgy került kialakításra, hogy nagy mennyiségű e-mailt is megbízhatóan továbbítson.

Azonban éppen a legitimitása teszi vonzóvá a támadók számára. A hagyományos adathalász kampányokkal szemben, amelyek gyanús domainekre támaszkodnak, az SES-alapú támadások olyan infrastruktúrából indulnak, amelyet a felhasználók és a biztonsági rendszerek egyaránt megbízhatónak tekintenek.

Az Amazon SES-en keresztül küldött e-mailek átmennek a szabványos hitelesítési ellenőrzéseken (SPF, DKIM és DMARC). Gyakran tartalmazzák az amazonses[.]com domaint a Message-ID fejlécben. Ennek eredményeként az ilyen típusú adathalász e-mailek technikailag hitelesnek tűnnek, és az e-mailes biztonsági megoldások ritkán szűrik ki őket. A támadók a hitelesség növelése érdekében olyan hivatkozásokat ágyaznak be, amelyek úgy tűnnek, mintha megbízható domainekre, például amazonaws[.]com-ra mutatnának. Valójában ezek a linkek rosszindulatú adathalász oldalakra irányítják a felhasználókat (1. ábra).

A legtöbb esetben a támadók kiszivárgott AWS Identity and Access Management (IAM) hitelesítési adatok révén szerzik meg az Amazon SES-fiókok feletti irányítást.

2026 elején a kutatók széles körű kampányokat figyeltek meg, amelyek elektronikus aláírási szolgáltatásokat, például a DocuSign-t utánozták (2. ábra). Az áldozatok olyan e-maileket kaptak, amelyek dokumentumok megtekintésére és aláírására szólították fel őket. Annak ellenére, hogy az e-mail fejléce alapján az üzeneteket az Amazon SES kézbesítette, a beágyazott linkek megtévesztő, az AWS-infrastruktúrán hosztolt bejelentkezési oldalakra irányították a felhasználókat.

Az Amazon SES-t a hagyományos adathalász támadásokon túl kifinomult Business Email Compromise (BEC) támadásokhoz is felhasználják. Egy esetben a támadók olyan e-maileket küldtek, amelyek egy munkavállaló és egy beszállító közötti, lejárt számláról szóló belső levelezés részének tűntek. Az üzenetek hamis levélváltásokat és fizetési adatokat tartalmazó PDF-mellékleteket is tartalmaztak (3. ábra).

Ezek az e-mailek nem tartalmaztak rosszindulatú hivatkozásokat, ami megnehezítette a felismerésüket. Ehelyett social engineering technikákra támaszkodtak, hogy rávegyék a pénzügyi csapatokat az összegek támadók által ellenőrzött bankszámlákra történő átutalására.

Az AWS arra kéri a felhasználókat, hogy kövessék az ajánlott biztonsági irányelveket fiókjaik védelme, valamint a visszaélések megelőzése érdekében.

A váratlan megkereséseket, különösen dokumentumokkal vagy fizetésekkel kapcsolatban célszerű külön kommunikációs csatornán ellenőrizni. A hivatkozások ellenőrzése még a megnyitás előtt segíthet megelőzni a hitelesítő adatok megszerzését.