Le **Amazon Simple Email Service (SES)** est de plus en plus utilisé à mauvais escient pour envoyer des e-mails de phishing convaincants qui peuvent contourner les filtres de sécurité standard et rendre inefficaces les blocages basés sur la réputation. Bien que la ressource ait déjà été exploitée pour des activités malveillantes par le passé, la flambée actuelle pourrait être due à un grand nombre de clés d'accès **AWS Identity and Access Management** exposées dans des actifs publics. Étant une ressource légitime et de confiance, les opérations de phishing peuvent exploiter Amazon SES pour envoyer des e-mails malveillants qui réussissent les contrôles d'authentification. Les chercheurs de **Kaspersky** notent dans un rapport qu'ils ont « observé une augmentation des attaques de phishing exploitant Amazon SES » pour diffuser des liens redirigeant vers un site malveillant.  *Source : Kaspersky* Les chercheurs estiment que le principal moteur de cet abus est l'exposition croissante des identifiants AWS dans les dépôts **GitHub**, les fichiers `.ENV`, les images **Docker**, les sauvegardes et les buckets **S3** accessibles publiquement. La recherche des clés d'accès se fait généralement de manière automatisée à l'aide de bots construits sur l'utilitaire open-source **TruffleHog**, conçu pour rechercher les secrets divulgués. Les acteurs de la menace s'appuient désormais sur des attaques automatisées qui rationalisent le scan des secrets, la validation des permissions et la distribution des e-mails, permettant des niveaux d'abus sans précédent. « Après avoir vérifié les permissions de la clé et les limites d'envoi d'e-mails, les attaquants sont équipés pour diffuser un volume massif de messages de phishing », explique **Kaspersky**. Sur la base de leurs découvertes, les chercheurs affirment que la qualité du phishing est élevée, avec des modèles HTML personnalisés imitant de vrais services et des flux de connexion réalistes. Les attaques observées comprennent de fausses notifications de signature de documents imitant **DocuSign** pour diriger les victimes vers des pages de phishing hébergées sur AWS, ainsi que des attaques plus avancées de compromission de la messagerie professionnelle (BEC). Les attaquants fabriquent des fils d'e-mails entiers pour rendre les messages de phishing plus convaincants et envoient de fausses factures pour tromper les services financiers et les inciter à effectuer des paiements.  *Source : Kaspersky* En exploitant Amazon SES, les attaquants n'ont plus à se soucier des contrôles d'authentification tels que les protocoles SPF, DKIM et DMARC. De plus, le blocage des adresses IP fautives qui délivrent les e-mails de phishing n'est pas une solution acceptable car cela empêcherait tous les e-mails provenant d'Amazon SES. Les acteurs de la menace ne se concentrent pas uniquement sur Amazon SES. Ils essaient constamment de trouver des moyens d'abuser d'autres systèmes d'e-mail légitimes pour diffuser des messages de phishing. Kaspersky recommande aux entreprises de restreindre les permissions IAM selon le principe du « moindre privilège », d'activer l'authentification multifacteur, de faire pivoter régulièrement les clés, et d'appliquer des restrictions d'accès basées sur IP et des contrôles de chiffrement. Dans une déclaration à BleepingComputer, **Amazon** a renvoyé à ses directives de sécurité concernant les identifiants exposés et la protection contre l'accès non autorisé aux comptes. « Si quelqu'un suspecte que des ressources AWS sont utilisées pour des activités abusives, il peut le signaler à AWS Trust & Safety », a déclaré un porte-parole d'AWS à BleepingComputer.