O **Amazon Simple Email Service (SES)** está sendo cada vez mais abusado para enviar e-mails de phishing convincentes que podem contornar filtros de segurança padrão e tornar ineficazes bloqueios baseados em reputação. Embora o recurso tenha sido utilizado para atividades maliciosas no passado, o pico atual pode ser devido a um grande número de chaves de acesso do **AWS Identity and Access Management** expostas em ativos públicos. Por ser um recurso legítimo e confiável, as operações de phishing podem alavancar o Amazon SES para enviar e-mails maliciosos que passam nas verificações de autenticação. Pesquisadores da **Kaspersky** observam em um relatório que eles "observaram um aumento em ataques de phishing que utilizam o Amazon SES" para entregar links que redirecionam para um site malicioso.  *Fonte: Kaspersky* Os pesquisadores acreditam que o principal impulsionador desse abuso é a crescente exposição de credenciais AWS em repositórios do **GitHub**, arquivos `.ENV`, imagens **Docker**, backups e buckets **S3** publicamente acessíveis. Encontrar as chaves de acesso é tipicamente feito de forma automatizada usando bots construídos na utilidade open-source **TruffleHog**, que é projetada para escanear por segredos vazados. Atores de ameaças agora dependem de ataques automatizados que otimizam a varredura de segredos, validação de permissões e distribuição de e-mails, permitindo níveis sem precedentes de abuso. "Após verificar as permissões da chave e os limites de envio de e-mail, os atacantes estão equipados para espalhar um volume massivo de mensagens de phishing", explica a **Kaspersky**. Com base em suas descobertas, os pesquisadores afirmam que a qualidade do phishing é alta, apresentando modelos HTML personalizados que imitam serviços reais e fluxos de login realistas. Os ataques observados incluem notificações falsas de assinatura de documentos que imitam o **DocuSign** para levar vítimas a páginas de phishing hospedadas na AWS, bem como ataques mais avançados de comprometimento de e-mail corporativo (BEC). Atacantes fabricam threads de e-mail inteiras para tornar as mensagens de phishing mais convincentes e enviam faturas falsas para enganar departamentos financeiros a fazer pagamentos.  *Fonte: Kaspersky* Ao alavancar o Amazon SES, os atacantes não precisam mais se preocupar com verificações de autenticação como os protocolos SPF, DKIM e DMARC. Além disso, bloquear os endereços IP ofensivos que entregam os e-mails de phishing não é uma solução aceitável, pois impediria todos os e-mails vindos do Amazon SES. Atores de ameaças não estão focando apenas no Amazon SES. Eles estão constantemente tentando encontrar maneiras de abusar de outros sistemas de e-mail legítimos para enviar mensagens de phishing. A Kaspersky recomenda que as empresas restrinjam as permissões IAM com base nos princípios de "menor privilégio", ativem a autenticação multifator, rotacionem chaves regularmente e apliquem restrições de acesso baseadas em IP e controles de criptografia. Em uma declaração ao BleepingComputer, a **Amazon** apontou para suas orientações de segurança sobre credenciais expostas e proteção contra acesso não autorizado a contas. "Se alguém suspeitar que recursos da AWS estão sendo usados para atividades abusivas, pode denunciar à AWS Trust & Safety", disse um porta-voz da AWS ao BleepingComputer.