Der **Amazon Simple Email Service (SES)** wird zunehmend missbraucht, um überzeugende Phishing-E-Mails zu versenden, die Standard-Sicherheitsfilter passieren und reputationsbasierte Sperren unwirksam machen können. Obwohl die Ressource in der Vergangenheit für bösartige Aktivitäten genutzt wurde, könnte der aktuelle Anstieg auf eine große Anzahl von **AWS Identity and Access Management**-Zugriffsschlüsseln zurückzuführen sein, die in öffentlichen Assets offengelegt wurden. Da es sich um eine legitime, vertrauenswürdige Ressource handelt, können Phishing-Operationen Amazon SES nutzen, um bösartige E-Mails zu versenden, die Authentifizierungsprüfungen bestehen. **Kaspersky**-Forscher stellen in einem Bericht fest, dass sie „eine Zunahme von Phishing-Angriffen beobachtet haben, die Amazon SES nutzen“, um Links zu liefern, die zu einer bösartigen Website weiterleiten.  *Quelle: Kaspersky* Die Forscher glauben, dass der Hauptgrund für diesen Missbrauch die zunehmende Offenlegung von AWS-Anmeldeinformationen in **GitHub**-Repositories, `.ENV`-Dateien, **Docker**-Images, Backups und öffentlich zugänglichen **S3**-Buckets ist. Das Finden der Zugriffsschlüssel erfolgt typischerweise automatisiert mithilfe von Bots, die auf dem Open-Source-Dienstprogramm **TruffleHog** basieren, das zum Scannen nach geleakten Geheimnissen entwickelt wurde. Bedrohungsakteure verlassen sich nun auf automatisierte Angriffe, die das Scannen von Geheimnissen, die Validierung von Berechtigungen und die E-Mail-Verteilung optimieren und ein beispielloses Ausmaß an Missbrauch ermöglichen. „Nach der Überprüfung der Schlüsselberechtigungen und E-Mail-Sendelimits sind Angreifer in der Lage, eine massive Menge an Phishing-Nachrichten zu verbreiten“, erklärt **Kaspersky**. Basierend auf ihren Erkenntnissen sagen die Forscher, dass die Qualität des Phishings hoch ist und benutzerdefinierte HTML-Vorlagen enthält, die echte Dienste und realistische Anmeldeabläufe nachahmen. Zu den beobachteten Angriffen gehören gefälschte Dokumenten-Signatur-Benachrichtigungen, die **DocuSign** imitieren, um Opfer auf AWS-gehostete Phishing-Seiten zu locken, sowie fortschrittlichere Business Email Compromise (BEC)-Angriffe. Angreifer erfinden ganze E-Mail-Threads, um die Phishing-Nachrichten überzeugender erscheinen zu lassen, und senden gefälschte Rechnungen, um Finanzabteilungen zur Zahlung zu verleiten.  *Quelle: Kaspersky* Durch die Nutzung von Amazon SES müssen Angreifer keine Authentifizierungsprüfungen wie die SPF-, DKIM- und DMARC-Protokolle mehr berücksichtigen. Darüber hinaus ist die Sperrung der offending IP-Adressen, die die Phishing-E-Mails liefern, keine akzeptable Lösung, da dies alle E-Mails von Amazon SES blockieren würde. Bedrohungsakteure konzentrieren sich nicht nur auf Amazon SES. Sie versuchen ständig, Wege zu finden, andere legitime E-Mail-Systeme zu missbrauchen, um Phishing-Nachrichten zu versenden. Kaspersky empfiehlt Unternehmen, IAM-Berechtigungen nach dem Prinzip der „geringsten Rechte“ einzuschränken, Multi-Faktor-Authentifizierung zu aktivieren, Schlüssel regelmäßig zu rotieren und IP-basierte Zugriffsbeschränkungen und Verschlüsselungskontrollen anzuwenden. In einer Erklärung gegenüber BleepingComputer verwies **Amazon** auf seine Sicherheitsrichtlinien zu offengelegten Anmeldeinformationen und zum Schutz vor unbefugtem Zugriff auf Konten. „Wenn jemand vermutet, dass AWS-Ressourcen für missbräuchliche Aktivitäten genutzt werden, kann er dies an AWS Trust & Safety melden“, sagte ein AWS-Sprecher gegenüber BleepingComputer.