Kaspersky araştırmacıları, Amazon’un bulut tabanlı e-posta hizmeti Simple Email Service (SES) hesaplarının ele geçirilmesiyle gerçekleştirilen yeni nesil oltalama saldırılarını ortaya çıkardı. Güvenilir bir platform üzerinden gönderilen bu e-postalar, teknik olarak meşru kurumsal yazışmalardan neredeyse ayırt edilemez durumda. Uzmanlar, saldırganların Amazon’un saygın IP adreslerini ve ‘.amazonses.com‘ ibaresini kullanarak filtreleri aştığını belirtiyor.
Saldırıların Temelinde Çalınan AWS Kimlik Bilgileri Var
Siber suçlular, Amazon Web Services (AWS) kimlik bilgilerini ele geçirmek için genellikle herkese açık kod depolarına, yanlış yapılandırılmış bulut depolama alanlarına ve ifşa edilmiş yapılandırma dosyalarına yöneliyor. Otomatize araçlar yardımıyla geçerli AWS Identity and Access Management (IAM) anahtarlarını tespit eden tehdit aktörleri, Amazon’un meşru altyapısı üzerinden yüksek hacimli zararlı e-postalar göndermeyi başarıyor. Ayrıca, amazonaws.com gibi güvenilir alan adlarını yönlendirmeler yoluyla kötüye kullanarak son derece ikna edici HTML e-posta şablonları oluşturuyorlar.
“Saldırganlar artık yalnızca platformların bildirim özelliklerinden yararlanmakla kalmıyor; bulut kimlik bilgilerini ele geçirerek güvenilir bir e-posta gönderim altyapısı üzerinde doğrudan kontrol sağlıyor.” – Roman Dedenok, Kaspersky Spam Karşıtı Uzmanı
Kaspersky’nin 2026 başlarında tespit ettiği bir kampanyada saldırganlar, DocuSign benzeri dijital imza platformlarını taklit eden e-postalar gönderdi. Kullanıcılar, belgeleri incelemek ve imzalamak için yönlendirildikleri sayfalarda aslında kimlik bilgilerini ele geçiren sahte giriş ekranlarıyla karşılaştı. Bu sahte sayfaların Amazon Web Services üzerinde barındırıldığı belirlendi.
BEC Saldırıları: Çalışan Kılığında Tedarikçilere Sahte Ödeme Talepleri
Araştırmacılar, Amazon SES üzerinden yürütülen bir diğer tehdit türü olan Kurumsal E-posta Dolandırıcılığı (BEC) saldırılarını da mercek altına aldı. Bu saldırılarda, bir çalışanın kimliğine bürünen dolandırıcılar, tedarikçilere acil ödeme talebi içeren e-postalar gönderiyor. Mesajlarda herhangi bir zararlı bağlantı bulunmazken, yalnızca banka hesap bilgilerinin yer aldığı PDF ekleri kullanılıyor. Bu yöntem, güvenlik yazılımlarının tehdidi tespit etmesini oldukça güçleştiriyor.
Kurumlar ve Bireyler İçin Kritik Önlemler
Kaspersky, bu tür saldırılara karşı kurumların minimum yetki prensibi ile AWS erişimlerini sınırlandırmasını, statik IAM anahtarları yerine rol tabanlı erişim yöntemlerini tercih etmesini ve çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmasını öneriyor. Ayrıca erişimlerin IP bazında kısıtlanması ve kimlik bilgilerinin düzenli olarak yenilenip denetlenmesi gerekiyor. Bireysel kullanıcılar ise yalnızca gönderen adına veya alan adına güvenmemeli; beklenmedik e-postalardaki talepleri farklı bir iletişim kanalı üzerinden doğrulamalı ve bağlantılara tıklamadan önce dikkatlice incelemeli.
Kaynak: Beyaz Haber Ajansı