Amazon SES Makin Sering Disalahgunakan untuk Kampanye Phishing Demi Hindari Deteksi

Layanan pengiriman email komersial Amazon Simple Email Service (SES) dilaporkan semakin sering disalahgunakan oleh penjahat siber untuk mengirimkan email phishing yang sangat meyakinkan. Taktik ini memungkinkan pesan berbahaya lolos dari filter keamanan standar dan membuat pemblokiran berbasis reputasi menjadi tidak efektif.

Meskipun sumber daya komputasi awan (cloud) kerap disalahgunakan di masa lalu, lonjakan aktivitas peretasan saat ini diyakini terjadi akibat banyaknya kunci akses Manajemen Akses dan Identitas (IAM) AWS yang terekspos secara tidak sengaja di aset-aset publik.

Karena pesan dikirim melalui sumber daya Amazon SES yang sah dan terpercaya, operasi phishing ini dapat dengan mudah melewati pemeriksaan autentikasi keamanan email.

Akar Masalah: Kunci Akses AWS yang Bocor

Dalam laporan terbarunya, para peneliti dari Kaspersky mencatat bahwa mereka “mengamati peningkatan serangan phishing yang memanfaatkan Amazon SES” untuk mengirimkan tautan yang mengarahkan korban ke situs berbahaya.

Pendorong utama dari penyalahgunaan ini adalah meningkatnya eksposur kredensial AWS di repositori GitHub, file konfigurasi .env, image Docker, file backup, dan bucket penyimpanan S3 yang dapat diakses publik. Pencarian kunci akses ini biasanya dilakukan secara otomatis menggunakan bot yang dibangun berdasarkan utilitas open-source TruffleHog, yang dirancang khusus untuk memindai informasi rahasia yang bocor.

Aktor ancaman kini sangat bergantung pada serangan otomatis yang menyederhanakan proses pemindaian rahasia, validasi izin, dan distribusi email, sehingga memungkinkan tingkat penyalahgunaan dalam skala yang belum pernah terjadi sebelumnya.

“Setelah memverifikasi izin kunci dan batas pengiriman email, penyerang siap untuk menyebarkan pesan phishing dalam volume yang sangat masif,” jelas pihak Kaspersky.

Kualitas Phishing Tingkat Tinggi dan Lolos Autentikasi

Berdasarkan temuan di lapangan, peneliti menyebutkan bahwa kualitas phishing yang dikirimkan tergolong sangat tinggi. Pesan-pesan ini menampilkan template HTML kustom yang meniru layanan asli secara sempurna, lengkap dengan alur masuk (login) yang realistis.

Serangan yang diamati mencakup:

• Pemberitahuan penandatanganan dokumen palsu yang meniru DocuSign untuk menggiring korban ke halaman phishing yang di-hosting di AWS.
• Serangan kompromi email bisnis (BEC – Business Email Compromise) yang jauh lebih canggih.

Dalam serangan BEC, peretas bahkan memalsukan seluruh utas email agar pesan phishing tampak lebih meyakinkan, lalu mengirimkan faktur (invoice) palsu untuk menipu departemen keuangan perusahaan agar melakukan pembayaran ke rekening penjahat.

Dengan memanfaatkan infrastruktur legal Amazon SES, penyerang tidak perlu lagi khawatir pesan mereka dicekal oleh pemeriksaan protokol autentikasi standar seperti SPF, DKIM, dan DMARC. Selain itu, memblokir alamat IP yang mendistribusikan email phishing ini bukanlah solusi yang dapat diterima, karena hal tersebut akan memblokir semua email sah lain yang masuk melalui Amazon SES.

Langkah Mitigasi dan Respons Amazon

Aktor ancaman tidak hanya berfokus pada Amazon SES. Mereka terus berusaha mencari cara untuk menyalahgunakan sistem email sah lainnya (termasuk email hosting perusahaan) untuk menyebarkan pesan berbahaya.

Untuk menekan risiko ini, Kaspersky merekomendasikan agar perusahaan mengambil langkah proaktif berikut:

• Membatasi izin IAM berdasarkan prinsip “hak istimewa paling rendah” (least privilege).
• Mengaktifkan Autentikasi Multi-Faktor (MFA).
• Melakukan rotasi kunci akses secara berkala.
• Menerapkan pembatasan akses berbasis alamat IP dan kontrol enkripsi.

Dalam sebuah pernyataan, Amazon menunjuk pada panduan keamanan resmi mereka mengenai penanganan kredensial yang terekspos dan perlindungan terhadap akses tidak sah ke akun. “Jika ada yang mencurigai bahwa sumber daya AWS digunakan untuk aktivitas penyalahgunaan, mereka dapat melaporkannya ke AWS Trust & Safety,” imbau juru bicara AWS.