Rászálltak az Amazonra az adathalászok

Egyre gyakrabban élnek vissza az Amazon levélküldő szolgáltatásával az adathalászok. Az okok is kezdenek körvonalazódni.
 

Az adathalászok egyik legfontosabb csatornájaként továbbra is az elektronikus levelezés szolgál. Ennél fogva folyamatosan olyan megoldásokat igyekeznek találni, amik révén a különféle e-mail biztonsági eszközöket, spamszűrőket át tudják ejteni, ezáltal minél több nemkívánatos küldeményük kerülhet a felhasználók postafiókjaiba. Megfigyelhető, hogy ebből a szempontból a legnagyobb e-mail küldő szolgáltatók egyre nagyobb nyomás alá helyeződnek, mivel ezek a védelmi megoldások szempontjából megbízható szervereket üzemeltetnek.
 
A Kaspersky biztonsági kutatói úgy látják, hogy az elmúlt időszakban észrevehetően megnőtt a népszerűsége az adathalászok körében az Amazon SES (Simple Email Service) szolgáltatásnak. Ennél fogva ezen keresztül egyre több kártékony e-mail kerül kiküldésre.
 
A biztonsági szakemberek igyekeztek utána járni, hogy mi lehet az oka annak, hogy az Amazon SES iránti kiberbűnözői érdeklődés ilyen mértékben fokozódik. A legvalószínűbb ok, hogy mind több hozzáférési kulcs válik elérhetővé az interneten a SES kapcsán is. Ilyen kulcsok és hozzáférési információk megjelenhetnek egyebek mellett GitHub repokban, .ENV fájlokban, Docker állományokban, biztonsági mentésekben és nyilvános S3 bucketekben. A kiberbűnőzők pedig már automatizált módszerekkel kutatják fel az ilyen típusú hozzáférési információkat, amelyek érvényességét ellenőrzik, sőt még a hozzájuk kapcsolódó levélküldési limiteket is lekérdezik. Ezt követően kezdik felhasználni a megkaparintott adatokat az ártalmas küldeményeik kézbesítéséhez, amik aztán az SPF, DKIM és DMARC alapú szűrőkön is könnyedén átcsúsznak.
 
A biztonsági szakemberek szerint a kockázatokat leginkább azzal lehet csökkenteni, ha a fejlesztők, üzemeltetők nem teszik nyilvánossá a hozzáférési kulcsokat, IP-cím alapú kontrollokat állítanak be, illetve gyakran cserélik a hozzáférési és API-kulcsokat, tokeneket.