El **Amazon Simple Email Service (SES)** está siendo cada vez más abusado para enviar correos electrónicos de phishing convincentes que pueden evadir los filtros de seguridad estándar y hacer ineficaces los bloqueos basados en reputación. Aunque el recurso ha sido utilizado para actividades maliciosas en el pasado, el pico actual puede deberse a un gran número de claves de acceso de **AWS Identity and Access Management** expuestas en activos públicos. Dado que es un recurso legítimo y confiable, las operaciones de phishing pueden aprovechar Amazon SES para enviar correos electrónicos maliciosos que pasan las verificaciones de autenticación. Investigadores de **Kaspersky** señalan en un informe que han "observado un aumento en los ataques de phishing que utilizan Amazon SES" para entregar enlaces que redirigen a un sitio malicioso.  *Fuente: Kaspersky* Los investigadores creen que el principal impulsor de este abuso es la creciente exposición de credenciales de AWS en repositorios de **GitHub**, archivos `.ENV`, imágenes de **Docker**, copias de seguridad y buckets de **S3** accesibles públicamente. La búsqueda de claves de acceso se realiza típicamente de forma automatizada utilizando bots creados con la utilidad de código abierto **TruffleHog**, diseñada para escanear secretos filtrados. Los actores de amenazas ahora dependen de ataques automatizados que agilizan el escaneo de secretos, la validación de permisos y la distribución de correos electrónicos, permitiendo niveles de abuso sin precedentes. "Después de verificar los permisos de la clave y los límites de envío de correo electrónico, los atacantes están equipados para distribuir un gran volumen de mensajes de phishing", explica **Kaspersky**. Basándose en sus hallazgos, los investigadores afirman que la calidad del phishing es alta, con plantillas HTML personalizadas que imitan servicios reales y flujos de inicio de sesión realistas. Los ataques observados incluyen notificaciones falsas de firma de documentos que imitan a **DocuSign** para dirigir a las víctimas a páginas de phishing alojadas en AWS, así como ataques más avanzados de compromiso de correo electrónico empresarial (BEC). Los atacantes fabrican hilos de correo electrónico completos para que los mensajes de phishing parezcan más convincentes y envían facturas falsas para engañar a los departamentos de finanzas y hacer que realicen pagos.  *Fuente: Kaspersky* Al aprovechar Amazon SES, los atacantes ya no necesitan preocuparse por las verificaciones de autenticación como los protocolos SPF, DKIM y DMARC. Además, bloquear las direcciones IP infractoras que entregan los correos electrónicos de phishing no es una solución aceptable porque impediría que todos los correos electrónicos provenientes de Amazon SES llegaran. Los actores de amenazas no se centran únicamente en Amazon SES. Constantemente intentan encontrar formas de abusar de otros sistemas de correo electrónico legítimos para enviar mensajes de phishing. Kaspersky recomienda que las empresas restrinjan los permisos de IAM basándose en los principios de "mínimo privilegio", habiliten la autenticación multifactor, roten las claves regularmente y apliquen restricciones de acceso basadas en IP y controles de cifrado. En una declaración a BleepingComputer, **Amazon** remitió a su guía de seguridad sobre credenciales expuestas y protección contra el acceso no autorizado a cuentas. "Si alguien sospecha que los recursos de AWS se están utilizando para actividades abusivas, puede informarlo a AWS Trust & Safety", dijo un portavoz de AWS a BleepingComputer.