Вы разбираете свою почту, пытаясь отделить зерна от плевел. Уведомление о неоплаченном счёте. Запрос на переподтверждение вашей учётной записи в известном сервисе. Выглядит достоверно, правда? Только вот это не так. И люди, которые это отправляют, не заботятся о законном бизнесе; им просто нужно украсть ваши учётные данные, или того хуже. Это не новость, но масштабы? Вот что меняется. Amazon Simple Email Service (SES) — инструмент, на который многие из нас полагаются для легитимного общения — всё чаще становится выбором фишеров, стремящихся обойти фильтры безопасности. И, честно говоря, это работает слишком хорошо.
Знаете, я освещаю подобные темы уже два десятилетия. Я видел, как приходят и уходят тренды, видел, как компании замазывают старые проблемы свежей краской с добавлением «пиксельной пыли» на основе ИИ. Но это? Это классический случай, когда легитимный сервис становится удобным вектором для злоумышленников, а корневая проблема стара как мир: утекшие учётные данные.
«Доверенный» псевдоним
Вот маленький грязный секрет: Amazon SES по своей сути является доверенной сущностью. Когда письмо приходит из SES, оно должно проходить проверки подлинности, такие как SPF, DKIM и DMARC. Почему? Потому что это Amazon. У них есть репутация, которую нужно поддерживать. Фишеры это знают. Они не глупы. Они просто оппортунисты. Используя SES, они обходят целый слой безопасности, предназначенный для отлова подозрительных, неизвестных отправителей. Это как использовать рекомендацию знаменитости для продажи пустышки — имя имеет вес, даже если продукт — мусор.
Как мы дошли до этого?
Исследователи Kaspersky бьют тревогу, и их отчёт указывает на явного виновника: публично раскрытые AWS ключи доступа к Identity and Access Management (IAM). Думайте об этих ключах как о цифровом эквиваленте мастер-ключа от здания. Если кто-то оставляет их валяться на GitHub, в забытом .env файле или даже в резервной копии, которую вы считали приватной, что ж, внезапно у плохих парней появляется свободный пропуск. Боты, подобные тем, что построены на TruffleHog, постоянно сканируют эти публичные пространства, вынюхивая эти ключи. Как только они находят ключ с разрешениями на отправку электронной почты и приличными лимитами, они пускаются в пляс.
«После проверки разрешений ключа и лимитов на отправку электронной почты злоумышленники получают возможность распространять огромное количество фишинговых сообщений», — поясняют в Kaspersky.
Это оптимизированный процесс. Найти ключи, проверить разрешения, отправить письма. Беспрецедентное злоупотребление, говорят они. И это имеет смысл. Зачем возиться с настройкой собственного ненадежного почтового сервера, когда можно просто позаимствовать Amazon, и это практически бесплатно или очень дёшево, если вы просто «оккупируете» чей-то скомпрометированный аккаунт?
Новые инструменты мошенников
Что особенно возмутительно, так это качество этих фишинговых писем. Это уже не просто плохо отформанный спам. Эти субъекты создают пользовательские HTML-шаблоны, которые с поразительной точностью имитируют реальные сервисы. Они строят реалистичные потоки входа в систему. Мы говорим о поддельных уведомлениях DocuSign, ведущих на фишинговые страницы, размещённые на AWS, и изощрённых атаках Business Email Compromise (BEC), где фабрикованные цепочки писем делают поддельные счета-фактуры тревожно правдоподобными. Финансовые отделы, вы в зоне их прицела.
Почему блокировки IP-адресов недостаточно
Итак, каково решение? Ну, очевидное — блокировка IP-адресов серверов-нарушителей — это не вариант. Если вы заблокируете диапазоны IP-адресов SES, вы будете блокировать не только фишеров; вы будете блокировать легитимные письма от клиентов Amazon. Это не жизнеспособный вариант. Это как пытаться остановить одну каплю яда, осушив весь колодец.
Реальное решение: эшелонированная оборона
Рекомендации Kaspersky — это стандартный, разумный совет, который вы могли бы ожидать: принцип минимальных привилегий для разрешений IAM, многофакторная аутентификация повсюду, регулярная ротация ключей и шифрование. Это основы. Если ваша организация не делает этого религиозно, вы уже оставляете дверь широко открытой. Проблема здесь в том, что отсутствие этих основ в огромном масштабе, особенно в обширной инфраструктуре публичного облака, создаёт эту питательную среду. Речь идёт не только о защите собственного дома; речь идёт о признании того, что сосед, оставляющий двери незапертыми, делает ваш район менее безопасным.
Это подчёркивает, помимо конкретного злоупотребления SES, продолжающуюся борьбу за атрибуцию и сдерживание в облачных средах. Когда сервис настолько распространён и гибок, как Amazon SES, он неизбежно станет целью злоупотреблений. Настоящая уязвимость — не сам сервис, а человеческие и процедурные сбои, которые позволяют его учётным данным быть скомпрометированными и использованными не по назначению в больших масштабах. Мы всё ещё пытаемся догнать, всегда пытались, тех плохих парней, которые просто ищут путь наименьшего сопротивления. И прямо сейчас этот путь ведёт прямо через скомпрометированный ключ AWS и кажущееся невинным письмо от Amazon.
Кто на самом деле здесь зарабатывает?
Давайте отбросим шум. Кто получает выгоду от этого конкретного хаоса? Очевидно, злоумышленники. Они зарабатывают, крадя учётные данные, обманывая людей, заставляя их отправлять платежи, или продавая доступ к скомпрометированным аккаунтам. Но кто ещё? Ну, можно утверждать, что компании по безопасности, продающие инструменты для обнаружения этих взломов, консультанты, помогающие компаниям внедрять «минимальные привилегии»,
