Kaspersky, ele geçirilmiş Amazon Simple Email Service hesapları üzerinden gerçekleştirilen oltalama taarruzlarına karşı uyardı

Kaspersky, işletmelerin ve geliştiricilerin yüksek hacimli pazarlama, bildirim ve süreç e-postaları gönderip almasına imkan tanıyan bulut tabanlı bir e-posta hizmeti olan Amazon Simple Email Service’in (SES), oltalama (phishing) ve kurumsal e-posta dolandırıcılığı (BEC) akınlarında berbata kullanıldığını tespit etti. Emniyetli bir servis üzerinden gönderilen bu e-postalar, saygın IP adreslerinden iletiliyor ve birçok vakit yasal “.amazonses.com” ibarelerini içeriyor. Bu durum, kelam konusu oltalama iletilerini teknik açıdan gerçek kurumsal yazışmalardan ayırt etmeyi son derece zorlaştırıyor. Kaspersky, kullanıcıların beklenmedik e-postalara karşı son derece temkinli yaklaşması gerektiğini vurguluyor.

Saldırıların temelinde, Amazon Web Services’e (AWS) ilişkin kimlik bilgilerinin çalınması ve açığa çıkması yer alıyor. Saldırganlar, çoğunlukla herkese açık kod depolarında, yanlış yapılandırılmış bulut depolama alanlarında ve ifşa edilmiş yapılandırma evraklarında bulunan AWS Identity and Access Management (IAM) anahtarlarını kullanıyor. Tehdit aktörleri, otomatik araçlar yardımıyla geçerli anahtarları tespit ederek Amazon’un yasal altyapısı üzerinden yüksek hacimli ziyanlı e-postalar gönderiyor.

Saldırganlar ayrıyeten, amazonaws.com üzere sağlam alan isimlerini yönlendirmeler aracılığıyla berbata kullanıyor ve son derece ikna edici HTML e-posta şablonları oluşturuyor. Pek çok olayda oltalama sayfaları, yasal görünümlü altyapılar üzerinde barındırılıyor. Bu da kullanıcı kimlik bilgilerinin ele geçirilme riskini kıymetli ölçüde artırıyor.

Kaspersky’nin 2026’nın başlarında gözlemlediği kampanyalardan birinde saldırganlar, DocuSign gibisi dijital doküman imzalama platformlarını taklit eden e-postalar gönderdi. Kullanıcılardan dokümanları inceleyip imzalamaları istenirken, aslında kimlik bilgilerini ele geçirmek emeliyle hazırlanmış düzmece giriş sayfalarına yönlendirildikleri görüldü. Bu geçersiz sayfalar Amazon Web Services üzerinde barındırılan geçersiz giriş sayfalarına yönlendirildikleri görüldü.

 

DocuSign bildirimini taklit eden bir oltalama e-postası

Araştırmacılar ayrıyeten, Amazon SES üzerinden gerçekleştirilen ve saldırganların çalışan kılığına girerek tedarikçilerle düzmece e-posta zincirleri oluşturduğu BEC (Business Email Compromise) akınlarını da belirledi. Çoklukla finans departmanlarını gaye alan bu bildiriler, acil ödeme talebi içeriyor ve içinde sadece banka ayrıntılarının bulunduğu PDF ekleriyle iletiliyor. Rastgele bir ziyanlı ilişki barındırmayan bu sistem, akınların güvenlik yazılımları tarafından tespit edilmesini epeyce zorlaştırıyor.

Amazon SES üzerinden gönderilen kurumsal e-posta dolandırıcılığı zinciri örneği

Kaspersky Spam Aksisi Uzmanı Roman Dedenok konuyla ilgili şu değerlendirmede bulundu: “Daha evvel de saldırganların emniyetli platformları berbata kullandığı örneklerle karşılaştık. Google Tasks ve Google Forms  vakalarında dolandırıcılar, yerleşik bildirim düzeneklerini kullanarak @google.com üzere yasal alan isimleri üzerinden oltalama irtibatları gönderiyor, böylelikle hem e-posta filtrelerini aşmayı hem de kullanıcı itimadını istismar etmeyi başarıyordu. Fakat Amazon SES’in berbata kullanılması, bu eğilimin çok daha gelişmiş bir kademesini temsil ediyor. Saldırganlar artık sadece platformların bildirim özelliklerinden yararlanmakla kalmıyor; bulut kimlik bilgilerini ele geçirerek sağlam bir e-posta gönderim altyapısı üzerinde direkt denetim sağlıyor. Bu da akınları büyük ölçekte yürütmelerine, iletileri büsbütün özelleştirmelerine ve gerçek kurumsal bağlantılardan ayırt edilmesi epeyce güç oltalama e-postaları göndermelerine imkan tanıyor.”

Kaspersky, bu çeşit akınlardan korunmak için şu tekliflerde bulunuyor:

 

Kaynak: (BYZHA) Beyaz Haber Ajansı