Hack Alerta

Phishing legítimo: como atacantes usam Amazon SES para burlar segurança de e-mail

Por Redação Hack Alerta Publicado em 04/05/2026 08:01 Cyber ataques Tempo de leitura: 6 min

Atacantes usam Amazon SES para phishing legítimo, burlando autenticação. Chaves IAM vazadas permitem envio em massa. Veja como proteger sua infraestrutura AWS e evitar fraudes BEC.

Introdução ao novo vetor de ataque

A segurança de e-mail corporativo enfrenta um desafio crescente com o uso de serviços legítimos de nuvem para campanhas de phishing. Um relatório recente da Kaspersky Securelist detalha uma campanha sofisticada que utiliza o Amazon Simple Email Service (Amazon SES) para enviar mensagens maliciosas que passam por todas as verificações de autenticação padrão. Diferente dos ataques tradicionais que utilizam domínios suspeitos, esta abordagem aproveita a infraestrutura confiável da AWS, enganando tanto os usuários quanto os sistemas de segurança.

O objetivo principal dos atacantes é burlar as barreiras de segurança de e-mail e induzir a vítima a revelar dados sensíveis ou realizar transferências financeiras. Ao utilizar o Amazon SES, os criminosos evitam a necessidade de construir infraestrutura de envio de e-mails duvidosa, economizando tempo e recursos. Isso representa uma mudança significativa na tática de phishing, exigindo que as organizações revisem suas estratégias de defesa.

A engenharia social por trás do ataque

Os e-mails enviados via Amazon SES passam pelos protocolos SPF, DKIM e DMARC, o que significa que, tecnicamente, eles parecem legítimos. O cabeçalho do e-mail contém .amazonses.com, e os links podem ser mascarados para parecerem que levam a domínios da Amazon, como amazonaws.com. Isso cria uma falsa sensação de segurança no destinatário.

Os atacantes frequentemente utilizam templates HTML personalizados para criar e-mails que imitam notificações de serviços de assinatura eletrônica, como o Docusign. A vítima é convidada a revisar e assinar um documento, clicando em um link que a redireciona para uma página de phishing hospedada em infraestrutura legítima. O formulário de login resultante captura as credenciais da vítima e as envia diretamente aos atacantes.

Como o comprometimento ocorre

A chave para o sucesso desta campanha é o acesso às credenciais de IAM (AWS Identity and Access Management) da Amazon SES. Os atacantes utilizam ferramentas automatizadas, como bots baseados no utilitário de código aberto TruffleHog, para varrer repositórios públicos do GitHub, arquivos ENV, imagens Docker e buckets S3 em busca de chaves de acesso expostas.

Uma vez que uma chave de IAM é encontrada e verificada, os criminosos podem enviar um volume massivo de mensagens de phishing. Como as chaves são válidas, os e-mails não são bloqueados por listas de reputação de IP, e o endereço do remetente não é associado a atividades maliciosas conhecidas. Isso torna a detecção baseada em reputação ineficaz contra este tipo de ataque.

Ataques BEC e fraudes financeiras

Além do phishing tradicional, o Amazon SES está sendo utilizado para campanhas sofisticadas de Business Email Compromise (BEC). Em um caso investigado, um e-mail fraudulento parecia conter uma série de mensagens trocadas entre um funcionário e um fornecedor sobre uma fatura pendente. O e-mail foi enviado como se fosse do funcionário para o departamento financeiro, solicitando pagamento urgente.

Os anexos PDF não continham URLs maliciosas, apenas detalhes de pagamento e documentação de suporte. O e-mail não originou-se do funcionário, mas de um atacante que o impersonou. O thread de mensagens foi fabricado para parecer legítimo, com o objetivo de baixar a guarda do usuário e induzir a transferência de fundos para a conta dos criminosos.

Medidas de mitigação recomendadas

Para mitigar os riscos associados ao uso indevido do Amazon SES, as organizações devem adotar as seguintes práticas de segurança:

  • Princípio do menor privilégio: Configure as chaves de acesso IAM concedendo permissões elevadas apenas a usuários que as necessitam para tarefas específicas.
  • Uso de funções IAM: Transicione de chaves de acesso IAM para funções quando configurar AWS. Funções são perfis com permissões específicas que podem ser atribuídas a um ou vários usuários, reduzindo o risco de chaves expostas.
  • Autenticação multifator (MFA): Ative o MFA em todas as contas de usuário e serviços críticos. Esta é uma medida de segurança fundamental que impede o acesso mesmo que as credenciais sejam comprometidas.
  • Restrições de acesso baseadas em IP: Configure regras para permitir o envio de e-mails apenas de endereços IP específicos e confiáveis.
  • Rotação automática de chaves: Implemente processos automatizados para rotacionar chaves de acesso regularmente e realize auditorias de segurança periódicas.
  • AWS Key Management Service: Utilize o KMS para criptografar dados com chaves criptográficas únicas e gerenciá-las de um local centralizado.

Implicações regulatórias e LGPD

No Brasil, a LGPD exige que as organizações protejam os dados pessoais sob sua responsabilidade. O uso de credenciais vazadas para enviar e-mails de phishing pode resultar em vazamento de dados de clientes e funcionários. As empresas devem garantir que seus ambientes de nuvem estejam configurados de acordo com as melhores práticas de segurança para evitar violações.

A falha em proteger as credenciais de acesso à nuvem pode ser considerada uma violação das medidas de segurança exigidas pela lei. Portanto, a auditoria regular de permissões e o monitoramento de atividades de IAM são essenciais para a conformidade regulatória.

O que os CISOs devem fazer imediatamente

Os CISOs devem revisar imediatamente as configurações de IAM em suas contas AWS. É crucial identificar e remover qualquer chave de acesso que não esteja em uso ou que tenha permissões excessivas. Além disso, a equipe de segurança deve monitorar logs de atividade de envio de e-mail para detectar padrões anômalos, como volumes incomuns de mensagens enviadas de uma única conta.

A conscientização dos usuários também é vital. Os colaboradores devem ser treinados para não confiar cegamente no campo De de um e-mail. Se receberem documentos inesperados, devem verificar o pedido com o remetente por um canal de comunicação diferente. A inspeção cuidadosa dos links no corpo do e-mail é outra precaução prudente.

Conclusão e perspectivas futuras

O phishing via Amazon SES está mudando de incidentes isolados para uma tendência constante. Ao weaponizar este serviço, os atacantes evitam o esforço de construir infraestrutura de e-mail duvidosa. Eles sequestram chaves de acesso existentes para enviar milhares de e-mails de phishing que passam por todas as verificações de autenticação.

Como essas campanhas de phishing derivam de credenciais AWS comprometidas ou vazadas, priorizar a segurança dessas contas é crítico. A combinação de controles técnicos robustos, monitoramento contínuo e treinamento de usuários é a única maneira eficaz de combater essa ameaça em evolução.

Baseado em publicação original de Securelist
Tags: #=phishing #aws #iam #amazon-ses #bec #cloud #seguranca-e-mail #vazamento #credenciais
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar