Introduzione: il rischio crescente di Amazon SES
Amazon Simple Email Service (SES) è uno strumento legittimo e affidabile utilizzato da milioni di aziende per inviare comunicazioni via email. Tuttavia, negli ultimi tempi, i criminali informatici hanno iniziato a sfruttarlo massicciamente per lanciare attacchi di phishing sofisticati. Il problema principale è che Amazon SES è un servizio fidato, il che significa che le email inviate attraverso questa piattaforma superano facilmente i controlli di autenticazione standard e raggiungono le caselle di posta dei destinatari senza essere bloccate dai filtri di sicurezza tradizionali.
Questa tendenza rappresenta una minaccia significativa per le aziende di tutte le dimensioni. Se ricevi email che sembrano provenire da servizi legittimi come DocuSign o dalla tua banca, potrebbe trattarsi di un attacco orchestrato proprio attraverso Amazon SES. La soluzione immediata è implementare controlli di sicurezza robusti sulle credenziali AWS e sensibilizzare il tuo team sui segnali di allarme di un phishing sofisticato.
Perché Amazon SES è diventato un bersaglio
L’aumento degli abusi di Amazon SES è strettamente correlato a un fenomeno specifico: l’esposizione accidentale delle credenziali AWS. Molte aziende commettono l’errore di pubblicare le proprie chiavi di accesso AWS in repository GitHub pubblici, file .ENV, immagini Docker, backup non protetti e bucket S3 accessibili pubblicamente. I criminali utilizzano bot automatizzati basati su strumenti come TruffleHog per cercare e trovare queste credenziali esposte.
Una volta in possesso di una chiave di accesso valida, gli attaccanti verificano automaticamente i permessi associati e i limiti di invio di email. Se la chiave consente l’utilizzo di Amazon SES, il criminale ha tutto ciò che serve per lanciare una campagna di phishing su larga scala. Questo processo è completamente automatizzato, il che significa che migliaia di attacchi possono essere orchestrati in poche ore.
Come funzionano gli attacchi di phishing tramite Amazon SES
Gli attacchi osservati dai ricercatori di sicurezza presentano un livello di sofisticazione particolarmente elevato. I criminali creano template HTML personalizzati che imitano perfettamente i servizi legittimi, con flussi di accesso realistici e design professionale.
Alcuni degli attacchi più comuni includono:
- Notifiche false di firma di documenti: Email che fingono di provenire da DocuSign, invitando l’utente a cliccare su un link che lo reindirizza a una pagina di phishing ospitata su server AWS controllati dagli attaccanti.
- Attacchi di compromissione email aziendale (BEC): I criminali creano intere catene di email false, con conversazioni elaborate e documenti contraffatti, per convincere i reparti finanziari a effettuare pagamenti fraudolenti.
- Fatture false: Email che sembrano provenire da fornitori legittimi, con fatture contraffatte allegate, progettate per ingannare gli addetti alla contabilità.
Il vantaggio del criminale: aggirare i controlli di autenticazione
Uno dei motivi principali per cui Amazon SES è così efficace per gli attacchi di phishing è che consente ai criminali di aggirare i protocolli di autenticazione email standard come SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting and Conformance).
Poiché Amazon SES è un servizio legittimo e affidabile, le sue infrastrutture sono già autorizzate a inviare email per conto di numerosi domini. Questo significa che anche se un criminale invia un’email fraudolenta, i sistemi di verifica la riconoscono come proveniente da una fonte attendibile.
Un ulteriore problema è rappresentato dal blocco degli indirizzi IP. Non è possibile semplicemente bloccare gli indirizzi IP da cui provengono le email di phishing, perché ciò comporterebbe il blocco di tutte le email legittime inviate attraverso Amazon SES, causando gravi disagi a migliaia di aziende oneste.
Misure di protezione consigliate
Per proteggere la tua azienda da questo tipo di attacchi, gli esperti di sicurezza raccomandano di implementare le seguenti misure:
- Limitare i permessi IAM secondo il principio del minimo privilegio: Assicurati che le credenziali AWS abbiano solo i permessi strettamente necessari per svolgere le loro funzioni specifiche.
- Abilitare l’autenticazione multi-fattore (MFA): Richiedi una seconda forma di verifica per accedere ai servizi AWS.
- Ruotare regolarmente le chiavi di accesso: Cambia le tue credenziali AWS periodicamente per ridurre il rischio di un accesso non autorizzato prolungato.
- Applicare restrizioni basate su IP: Limita l’accesso ai servizi AWS solo da indirizzi IP specifici e fidati.
- Utilizzare la crittografia: Proteggi le tue credenziali con algoritmi di crittografia robusti.
Inoltre, è fondamentale sensibilizzare il tuo team sui segnali di allarme di un phishing sofisticato, come link sospetti, richieste inaspettate di informazioni sensibili e discrepanze nei dettagli delle email.
La risposta di Amazon e le prospettive future
Amazon ha riconosciuto il problema e ha fornito indicazioni di sicurezza agli utenti. L’azienda ha sottolineato l’importanza di proteggere le credenziali esposte e ha incoraggiato chiunque sospetti abuso dei servizi AWS a segnalarlo al team AWS Trust & Safety.
Tuttavia, il problema non è limitato ad Amazon SES. I criminali stanno costantemente cercando di trovare nuovi modi per abusare di altri servizi email legittimi e per spingere messaggi di phishing. Questo significa che la minaccia evolverà e si adatterà man mano che le aziende implementeranno nuove difese.
Technical Deep Dive
Per i professionisti della sicurezza informatica, è importante comprendere i dettagli tecnici di questi attacchi.
Gli attaccanti utilizzano automazione sofisticata basata su strumenti open-source come TruffleHog per scansionare repository pubblici e identificare credenziali esposte. Una volta identificata una chiave di accesso AWS valida, i bot eseguono automaticamente:
- Validazione dei permessi: Verificano se la chiave consente l’accesso a Amazon SES e quali sono i limiti di invio associati.
- Configurazione della campagna: Preparano i template email, i domini di invio e i server di destinazione.
- Distribuzione su scala: Lanciano la campagna di phishing, sfruttando i limiti di invio della chiave compromessa.
I template HTML utilizzati nei phishing sono altamente sofisticati, con CSS inline per evitare il rilevamento e script JavaScript per tracciare le interazioni dell’utente. I criminali spesso utilizzano tecniche di obfuscation per nascondere gli URL reali dietro link apparentemente legittimi.
Per quanto riguarda l’infrastruttura di hosting, molti attaccanti utilizzano server EC2 di AWS o altri provider cloud per ospitare le pagine di phishing, rendendo più difficile il tracciamento e la disattivazione degli attacchi.
Dal punto di vista della difesa, le organizzazioni dovrebbero implementare monitoraggio continuo dei loro repository GitHub e sistemi di scansione delle credenziali. Inoltre, l’utilizzo di SIEM (Security Information and Event Management) per rilevare pattern di invio anomali attraverso Amazon SES può aiutare a identificare compromissioni precoci.
Infine, l’implementazione di policy di sicurezza cloud robuste e il regolare audit delle configurazioni IAM sono essenziali per prevenire questo tipo di attacchi.
