Kejahatan Cyber di Balik Amazon SES
Amazon Simple Email Service (SES) kini disalahgunakan untuk meluncurkan serangan phishing berskala besar yang dengan mudah menghindari pertahanan keamanan saat ini, dan dapat memaparkan para korban pada risiko pencurian kredensial dan identitas. Peneliti keamanan dari Kaspersky baru saja mengeluarkan peringatan terkait fenomena ini, dengan mencatat, “Kami baru-baru ini mengamati peningkatan serangan phishing yang memanfaatkan Amazon SES.”
Para penyerang mulai dengan mencuri kredensial AWS yang terpapar. Menggunakan alat seperti TruffleHog, mereka menyisir repositori GitHub, file .ENV, gambar Docker, backup, dan bucket S3 yang dapat diakses publik untuk mencari kredensial login ke layanan Amazon Web Services.
Melewati Semua Pemeriksaan
Setelah menemukan kredensial tersebut, mereka menganalisis izin dan kemampuan distribusi email: “Setelah memastikan izin kunci dan batasan pengiriman email, para penyerang siap untuk menyebarkan volume besar pesan phishing,” kata Kaspersky.
Pesan-pesan ini dirancang dengan cermat, menggunakan template HTML kustom yang meniru layanan yang sah, serta alur login yang sangat realistis. Temanya bervariasi, mulai dari dokumen palsu DocuSign hingga kampanye Business Email Compromise (BEC).
Karena Amazon SES adalah layanan yang sah, email yang dikirim oleh para penyerang dapat melewati pemeriksaan otentikasi seperti SPF, DKIM, dan DMARC, sehingga pesan jahat ini langsung masuk ke inbox orang-orang. Bahkan, pemblokiran berdasarkan IP juga tidak efektif, karena itu akan melarang semua email yang datang dari Amazon SES.
Kaspersky memperingatkan, “Phishing melalui Amazon SES sedang beralih dari insiden yang terisolasi menjadi tren yang stabil.” Dengan memanfaatkan layanan ini, para penyerang menghindari upaya membangun domain dan infrastruktur email yang meragukan dari nol. Sebagai gantinya, mereka meretas kunci akses yang sudah ada untuk bisa meluncurkan ribuan email phishing dengan sangat mudah.
Untuk mengurangi risiko ini, Kaspersky merekomendasikan pengguna untuk menerapkan prinsip penggunaan hak akses minimal saat mengonfigurasi IAM. Mereka juga menyarankan untuk beralih dari kunci akses IAM ke peran saat mengatur AWS dan mengaktifkan otentikasi multifaktor.
Pembatasan akses berbasis IP harus dikonfigurasi, serta rotasi kunci otomatis. Akhirnya, pengguna perlu menggunakan AWS Key Management Service untuk mengenkripsi data dan mengelola kunci dari lokasi terpusat.
Dengan semakin berkembangnya tren serangan phishing ini, kesadaran dan langkah-langkah pencegahan yang tepat menjadi sangat penting untuk melindungi diri dari ancaman siber yang semakin kompleks.
