Gelen kutunuza bakıyorsunuz, neyin gerçek neyin sahte olduğunu anlamaya çalışıyorsunuz. Ödenmemiş bir fatura bildirimi. Tanıdık bir servisle hesabınızı yeniden doğrulama talebi. Güvenli görünüyor, değil mi? Aslında değil. Ve bunları gönderenler meşru işlerle ilgilenmiyor; tek dertleri sizin kimlik bilgilerinizi veya daha kötüsünü ele geçirmek. Bu yeni bir durum değil ama ölçeği? İşte asıl değişen bu. Birçoğumuzun meşru iletişim için güvendiği bir araç olan Amazon’un Basit E-posta Servisi (SES), güvenlik filtrelerini aşmak isteyen oltalama (phishing) yapanlar için giderek daha fazla tercih edilen bir yöntem haline geliyor. Ve açıkçası, bu durum çok iyi işliyor.
Bakın, bu işleri yirmi yıldır takip ediyorum. Trendlerin gelip geçtiğini, şirketlerin aynı eski sorunları taze yapay zeka tozlarıyla kapladığını gördüm. Ama bu? Bu, meşru bir servisin kötü niyetli kişiler için kullanışlı bir vektör haline gelmesinin klasik bir örneği ve altta yatan sorun, zamanın başlangıcından beri aynı: ortaya çıkan kimlik bilgileri.
‘Güvenilir’ Takma Ad
İşte kirli küçük sır: Amazon SES, doğası gereği güvenilir bir varlıktır. SES’ten gelen bir e-posta, SPF, DKIM ve DMARC gibi kimlik doğrulama kontrollerini geçmelidir. Neden mi? Çünkü Amazon. Onların itibarları var ve bunu korumak zorundalar. Oltalama yapanlar bunu biliyor. Aptal değiller. Sadece fırsatçı. SES’e tutunarak, şüpheli, bilinmeyen göndericileri yakalamak için tasarlanmış bir güvenlik katmanını atlıyorlar. Bu, yılan yağı satmak için bir ünlünün onayını kullanmak gibi — ürün çöp olsa da isim ağırlık taşıyor.
Buraya Nasıl Geldik?
Kaspersky araştırmacıları alarm veriyor ve raporları net bir suçluya işaret ediyor: herkese açık hale gelen AWS Kimlik ve Erişim Yönetimi (IAM) erişim anahtarları. Bu anahtarları, bir binanın anahtarlarının dijital karşılığı gibi düşünün. Birisi bunları GitHub’da, unutulmuş bir .env dosyasında veya özel olduğunu düşündüğünüz bir yedekte ortalıkta bırakırsa, aniden kötü adamların serbest geçiş kartı olur. TruffleHog gibi botlar, bu herkese açık alanları sürekli tarıyor, bu anahtarları kokluyor. Bir kez e-posta gönderme izinleri ve makul limitleri olan bir tane bulduklarında, yarışa başlıyorlar.
“Anahtarın izinlerini ve e-posta gönderme limitlerini doğruladıktan sonra, saldırganlar çok sayıda oltalama mesajı yaymak için donanımlı hale geliyor,” diye açıklıyor Kaspersky.
Bu, akıcı bir süreç. Anahtarları bul, izinleri doğrula, e-postaları gönder. Eşi görülmemiş bir istismar diyorlar. Ve mantıklı. Kendi güvenilmez posta sunucunuzu kurmakla neden uğraşasınız ki, Amazon’unkini ödünç alabilirken, ve başkasının ele geçirilmiş hesabına göz dikiyorsanız neredeyse bedava veya pul parasına?
Dolandırıcıların Yeni Araç Kutusu
Özellikle sinir bozucu olan, bu oltalama e-postalarının kalitesi. Artık sadece kötü formatlanmış spam’ler değil. Bu aktörler, gerçek hizmetleri şaşırtıcı bir doğrulukla taklit eden özel HTML şablonları hazırlıyorlar. Gerçekçi oturum açma akışları oluşturuyorlar. AWS barındıran oltalama sayfalarına yönlendiren sahte DocuSign bildirimlerinden ve sahte faturaları rahatsız edici derecede gerçekçi gösteren uydurma e-posta dizileriyle gerçekleşen sofistike İş E-postası Dolandırıcılığı (BEC) saldırılarından bahsediyoruz. Finans departmanları, hedef sizsiniz.
IP Engellemek Neden Yeterli Değil
Peki, çözüm ne? Elbette bariz olanı — yani ilgili sunucuların IP adreslerini engellemek — geçerli bir seçenek değil. SES IP aralıklarını engellerseniz, sadece oltalama yapanları engellemiş olmazsınız; Amazon müşterilerinden gelen meşru e-postaları da engellemiş olursunuz. Bu, tüm kuyuyu boşaltarak tek bir zehir damlasını durdurmaya çalışmak gibidir, işe yarar bir seçenek değil.
Gerçek Çözüm: Derinlemesine Savunma
Kaspersky’nin önerileri, standart ve mantıklı tavsiyelerdir: IAM izinleri için en az ayrıcalık ilkesi, her yerde çok faktörlü kimlik doğrulama, düzenli anahtar rotasyonu ve şifreleme. Bunlar temel bilgiler. Kuruluşunuz bu şeyleri düzenli olarak yapmıyorsa, zaten kapıyı ardına kadar açık bırakmışsınız demektir. Buradaki sorun, bu temellerin büyük ölçekte eksikliği, özellikle de geniş genel bulut altyapısı içinde bu üreme alanını yaratıyor. Sadece kendi evinizi güvence altına almakla ilgili değil; komşunuzun kapılarını kilitlememesinin mahallenizi daha güvensiz hale getirdiğini kabul etmekle ilgili.
Bu durum, SES’in özel kötüye kullanımının ötesinde, bulut ortamlarında kimlik tespiti ve kontrol altına alma mücadelesini vurguluyor. Amazon SES gibi her yerde bulunan ve esnek bir hizmet söz konusu olduğunda, kaçınılmaz olarak istismar için bir hedef olacaktır. Gerçek zafiyet, hizmetin kendisi değil, kimlik bilgilerinin ele geçirilip büyük ölçekte kötüye kullanılmasına izin veren insan ve prosedürel başarısızlıklardır. Kötü adamların sadece en kolay yolu aradığı durumlarda, hep geride kaldık, hep kalacağız. Ve şu anda, o yol doğrudan ele geçirilmiş bir AWS anahtarından ve Amazon’dan gelen masum görünen bir e-postadan geçiyor.
Gerçekten Kim Para Kazanıyor?
Gürültüyü keselim. Bu özel kaos türünden kim faydalanıyor? Açıkçası, tehdit aktörleri. Kimlik bilgilerini çalarak, insanları ödeme yapmaya kandırarak veya ele geçirilmiş hesaplara erişim satarak para kazanıyorlar. Peki başka kim? Bu tür ihlalleri tespit etmek için araçlar satan güvenlik şirketleri, şirketlere “en az ayrıcalık” uygulayan danışmanlar da bu işten faydalanıyor diyebiliriz.
