In den letzten Wochen wurde ein besonders beunruhigendes Phänomen beobachtet: bösartige Akteure nutzen den legitimen Service von Amazon Simple Email Service (SES) als Infrastruktur für hochwertige Phishing-Kampagnen. Der strategische Wert von SES für Angreifer ist nicht versehentlich: durch die Verwendung einer zuverlässigen und verifizierten Versandplattform können bösartige E-Mails regelmäßige Kontrollen entfernen und Eingabefächer mit Headern und Signaturen erreichen, die legitim erscheinen.
Die Wurzel des Problems ist die Darstellung von Anmeldeinformationen in einem flachen Text.. Öffentliche Repositories, .env-Dateien, Docker-Bilder und schlecht geschützte Backup weiterhin filtern AWS-Zugriffsschlüssel, und Kriminelle haben ihre Suche mit Werkzeugen automatisiert, die große Mengen öffentlicher Daten scannen. Dieserselbe Vorgang, einmal automatisiert, ermöglicht es Ihnen, Berechtigungen zu überprüfen, Versandlimits zu validieren und das kompromittierte Konto zu verwenden, um Tausende von Nachrichten in kurzer Zeit zu verbreiten.
Das technische Ergebnis ist klar: Wenn der Absender Amazon SES ist, sind Protokolle wie SPF, DKIM oder DMARC kein praktisches Hindernis mehr für den Betrugsverteiler, und die Möglichkeit, IP-Adressen zu blockieren, wird unwirksam, weil es einen Teil der legitimen Post blockieren würde, der dieselbe Infrastruktur in der Cloud durchläuft. Darüber hinaus sind Angreifer Hosting Phishing-Seiten in AWS-Diensten, Hinzufügen einer zusätzlichen Ebene der Glaubwürdigkeit und machen es schwierig, durch traditionelle schwarze Listen zu erkennen.
Die beobachteten Angriffe haben bereits die generische Phishing transzendiert: Kriminelle produzieren Vollpostfäden, HTML-Vorlagen, die echte Login-Flows und falsche Dokumente replizieren, um Finanzabteilungen mit betrügerischen Rechnungen zu täuschen. Diese Entwicklung in Richtung BEC (Employment to Business Mail) und Cloud-gehostete Supplanting-Seiten erfordert ein Umdenken der Verteidigung, die sich nicht nur auf namhafte Filter verlassen kann.
Welche technische Ausrüstung sollte sofort: Entfernen Sie lange Zugriffstasten, drehen Sie sie häufig und ersetzen Sie sie mit temporären Rollen, wenn möglich; wenden Sie das Prinzip des kleinen Privilegs für jede Identität; Kraft Multi-Faktor-Authentifizierung (MFA) in allen Konten mit administrativen Genehmigungen; und beschränken Sie den Zugriff durch IP-Adresse oder bestimmte Bereiche für empfindliche Operationen. Parallel aktivieren Sie Datensätze und Warnungen in CloudTrail und CloudWatch, um abnorme Gebrauchsmuster von ES zu erkennen und operative Grenzen festzulegen, die eine menschliche Überprüfung erfordern, bevor abrupte Mengensteigerungen im Versandvolumen zu verzeichnen sind.
Auf der Entwicklungszyklusebene ist es unerlässlich, die geheime Abtastung in die Rohrleitungen einzubinden und eine versehentliche Veröffentlichung von Schlüsseln zu verhindern. Detection-Tools im Repository selbst - wie die öffentliche Lösung, die viele dieser Kampagnen inspiriert - helfen, Lecks zu vermeiden und schnell zu reagieren, wenn sie passieren. Für mehr Kontext zu diesem Erkennungstool können Sie Ihr offizielles Repository in https: / / github.com / Trüffelsicherheit / Trüffel HERSTELLUNG und für Empfehlungen des Identitätsmanagements in AWS ist es angebracht, die bewährten Praktiken des AMI in https: / / docs.aws.amazon.com / IAM / aktuell / UserGuide / best-practices.html.
Es gibt auch organisatorische Maßnahmen, die den Einfluss reduzieren: die Erstellung von sekundären Verifizierungsprozessen für Zahlungen und Bestellungen (Telefon-Bestätigung oder E-Mail-Kanäle), die Ausbildung von Finanz- und Kundendienstteams bei der Erkennung von Social Engineering-Signalen und die Bereitstellung von Mail-Sicherheitslösungen, die dynamische Link- und Content-Analyse durch Klicken (Klick-Time URL-Scannen) durchführen, anstatt nur auf statische Signaturen.
Gemeinsame Verantwortung und Druck auf Lieferanten sind zwei wichtige Teile: Unternehmen müssen ihre internen Praktiken festigen, aber Cloud-Anbieter können auch den Missbrauch mildern, indem die Erkennung von Anomalien bei der Nutzung von Dienstleistungen wie ES verbessert wird und automatische Kontrollen angewendet werden, wenn eine Reihe von Anmeldeinformationen atypisches Verhalten zeigt. Ein neuer technischer Bericht dokumentiert dieses Muster des Missbrauchs und liefert Spuren, die die gegenwärtige Raffinesse illustrieren; um diese Forschung weiter voranzubringen, kann die von Kaspersky veröffentlichte Analyse zu https: / / securelist.com / amazon-ses-physical-and-bec-attacks / 119623 /.
Kurz gesagt, die Leichtigkeit, mit der ein legitimer Service für schädliche Kampagnen recycelt werden kann, erfordert die Kombination von technischen Kontrollen (Schlüsseldrehung, MFA, geringstes Privileg, Überwachung), sichere Entwicklungspraktiken (Geheim Scannen, Geräteüberprüfung) und operativen Richtlinien (Zahlungsprüfung, Schulung). Ignorieren einer dieser Schichten lässt Organisationen und Benutzer Betrug ausgesetzt, die heute auf die Glaubwürdigkeit der Cloud-Infrastruktur verlassen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...