Nas últimas semanas, observou-se um fenômeno particularmente preocupante: atores maliciosos estão aproveitando o serviço legítimo do Amazon Simple Email Service (SES) como infraestrutura para campanhas de phishing de alta qualidade. O valor estratégico do SES para os atacantes não é acidental: ao usar uma plataforma de envio confiável e verificada, os e-mails maliciosos podem sortear controles habituais e chegar às bandejas de entrada com cabeçalhos e assinaturas que parecem legítimos.
A raiz do problema é a exposição de credenciais em texto plano. Repositorios públicos, arquivos .env, imagens Docker e cópias de segurança mal protegidas continuam a filtrar chaves de acesso à AWS, e os criminosos têm automatizado sua busca com ferramentas que digitalizam grandes volumes de dados públicos. Esse mesmo processo, uma vez automatizado, permite verificar permissões, validar limites de envio e usar a conta comprometida para difundir milhares de mensagens em pouco tempo.
O resultado técnico é claro: quando o remetente é o Amazon SES, protocolos como SPF, DKIM ou DMARC deixam de ser um obstáculo prático para o distribuidor de fraudes, e a opção de bloquear endereços IP torna-se ineficaz porque implicaria bloquear parte do correio legítimo que passa pela mesma infraestrutura na nuvem. Além disso, os atacantes estão alojando páginas de phishing em serviços da AWS, o que adiciona uma camada extra de credibilidade e dificulta a detecção por listas negras tradicionais.
Os ataques observados já traduziram o phishing genérico: os criminosos fabricam fios de e-mail completos, modelos HTML que replicam fluxos de login reais e documentos falsos para enganar departamentos financeiros com facturas fraudulentas. Esta evolução para a BEC (compromissão de correio empresarial) e páginas de suplantação hospedadas na nuvem obriga a repensar a defesa, que não pode depender apenas de filtros baseados em reputação.
O que devem fazer os equipamentos técnicos imediatamente: eliminar as chaves de acesso de uso prolongado, rodar com frequência e substituí-las por papéis temporários quando possível; aplicar o princípio de menor privilégio para cada identidade; forçar a autenticação multifator (MFA) em todas as contas com permissões administrativas; e restringir o acesso por endereço IP ou intervalos específicos para operações sensíveis. Em paralelo, ativar registros e alertas em CloudTrail e CloudWatch para detectar padrões anormais de uso do SES, e fixar limites operacionais que requerem revisão humana antes de aumentos bruscos no volume de envio.
No plano do ciclo de desenvolvimento, é imprescindível incorporar digitalização de segredos nos pipelines e prevenir a publicação acidental de chaves. Ferramentas de detecção no próprio repositório – como a solução pública que inspira muitas dessas campanhas – ajudam tanto a evitar fugas como a reagir rápido quando ocorrem. Para mais contexto sobre essa ferramenta de detecção, você pode revisar seu repositório oficial em https://github.com/trufflesecurity/truffleHog, e para recomendações de gestão de identidades na AWS, convém consultar as boas práticas de IAM em https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html.
Também há medidas organizacionais que reduzem o impacto: estabelecer processos de verificação secundários para pagamentos e comandos (confirmação por telefone ou canais fora do correio), formar equipamentos financeiros e de atendimento ao cliente na detecção de sinais de engenharia social, e implantar soluções de segurança de e-mail que realizem análises dinâmicas de links e conteúdo ao clicar (click-time URL scanning) em vez de confiar apenas em assinaturas estáticas.
Responsabilidade partilhada e pressão sobre os fornecedores São duas peças-chave: as empresas devem endurecer as suas práticas internas, mas os provedores de nuvem também podem mitigar o abuso melhorando a detecção de anomalias no uso de serviços como o SES e aplicando controles automáticos quando um conjunto de credenciais mostra comportamentos atípicos. Um relatório técnico recente documenta este padrão de abuso e traz traços que ilustram a sofisticação atual; para aprofundar essa pesquisa, você pode consultar a análise publicada pela Kaspersky em https://securelist.com/amazon-ses-phishing-and-bec-attacks/119623/.
Em suma, a facilidade com que um serviço legítimo pode ser reciclado para campanhas maliciosas obriga a combinar controles técnicos (rotação de chaves, MFA, leiast privilege, monitoramento), práticas de desenvolvimento seguras (escaneo de segredos, revisão de artefatos) e políticas operacionais (verificação de pagamentos, formação). Ignorar qualquer uma destas camadas deixa organizações e usuários expostos a fraudes que hoje se apoiam na credibilidade da infraestrutura na nuvem.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...