Amazon SES İstismar Ediliyor
Amazon Simple Email Service (SES), son zamanlarda, standart güvenlik filtrelerini aşabilen ikna edici kimlik avı e-postaları göndermek için artan bir şekilde kötüye kullanılıyor. Bu durum, sahip olduğu güvenilirlik sayesinde kötü niyetli saldırganların Amazon SES’i kullanarak sahte e-postalar göndermesine olanak tanıyor.
Saldırı Nasıl Çalışıyor?
Araştırmalar, bu kötüye kullanımın arkasındaki ana nedenlerin, özellikle AWS kimlik ve erişim yönetimi (IAM) anahtarlarının GitHub gibi halka açık kaynaklarda ifşa edilmesi olduğunu göstermektedir. Kaspersky araştırmacıları, otomatik botlar kullanarak bu anahtarların kolaylıkla bulunduğunu ve bu saldırganların, sırasıyla, izin doğrulama ve e-posta dağıtım süreçlerini yürüttüğünü belirtmektedir.
Bu süreçte, saldırganlar:
- Anahtarların izinlerini doğrular,
- Gönderim limitlerini kontrol eder,
- Yüksek hacimde kimlik avı mesajları yaymak için gerekli araçları elde ederler.
Elde edilen veriler, saldırganların gerçek hizmetleri taklit eden özelleştirilmiş HTML şablonları ile yüksek kalitede kimlik avı saldırıları gerçekleştirmesine olanak tanır.
Etkilenen Sistemler
Amazon SES üzerinden gerçekleştirilen kimlik avı saldırıları, sıklıkla şu tür içerikler içermektedir:
- DocuSign’ın taklidini yapan sahte belge imzalama bildirimleri,
- Gerçekçiliği artırmak üzere üretilmiş sahte e-posta dizileri,
- Mali departmanları yanıltmak için gönderilen sahte faturalar.
Saldırganlar, e-postalarda sahte belgeler oluşturarak daha ikna edici hale getirerek potansiyel kurbanları hedef almaktadır.
Çözüm ve Korunma
Kaspersky, firmaların IAM izinlerini “en az ayrıcalık” ilkesine göre kısıtlaması, çok faktörlü kimlik doğrulamayı etkinleştirmesi, anahtarları düzenli olarak döndürmesi ve IP tabanlı erişim kısıtlamaları ile şifreleme kontrolleri uygulaması gerektiğini önermektedir.
E-postaların Amazon SES üzerinden gönderildiği dikkate alındığında, aşağıdaki tedbirler de önemlidir:
- SPF, DKIM ve DMARC gibi kimlik doğrulama kontrollerine dikkat edin,
- İlgili IP adreslerini engellemek yerine diğer güvenlik önlemlerini etkin hale getirin.
Saldırılara karşı etkili tedbirler almak, organizasyonlar için hayati önem taşımaktadır.
Sonuç
Eğer bir organizasyonda Amazon Web Services kullanılıyorsa, bu hizmetlerden faydalanırken IAM izinlerinin düşürülmesi ve kimlik doğrulama yöntemlerinin güçlendirilmesi gerekmektedir. Güncellemeler düzenli bir şekilde yapılmalı ve gerekli erişim kısıtlamaları uygulanmalıdır. Aynı zamanda, anahtarların sızmaması için iyi bir güvenlik prosedürü takip edilmelidir.
