O serviço de envio de correio eletrónico Amazon SES está a ser alvo de uma exploração crescente para a propagação de esquemas de phishing altamente convincentes. Ao utilizar uma infraestrutura fidedigna e com boa reputação, os atacantes conseguem contornar as barreiras de segurança convencionais, tornando ineficazes os filtros que normalmente bloqueiam comunicações maliciosas.
Conforme detalhado num relatório recente da Kaspersky, esta vaga de ataques está diretamente ligada à exposição de chaves de acesso AWS IAM em locais públicos, como repositórios de código ou imagens de contentores. Esta falha de segurança permite que entidades maliciosas enviem mensagens que passam em todas as verificações de autenticação, uma vez que provêm de um recurso legítimo da Amazon.
Automação e sofisticação das mensagens fraudulentas
A identificação das credenciais necessárias para este abuso é feita de forma automatizada através de ferramentas que vasculham a internet em busca de segredos expostos. Uma vez que as chaves são validadas, os criminosos ficam aptos a disparar volumes massivos de mensagens fraudulentas com um nível de sofisticação elevado, utilizando modelos que imitam na perfeição serviços de assinatura de documentos ou portais de faturação.
A utilização do Amazon SES permite ainda que os atacantes ignorem preocupações com protocolos de validação como o SPF, DKIM ou DMARC. Como o serviço é reconhecido como seguro, as mensagens fraudulentas chegam à caixa de entrada das vítimas com uma aparência de total legitimidade, o que aumenta consideravelmente a taxa de sucesso destes esquemas.
Recomendações para reforçar a segurança das contas
Bloquear os endereços IP associados ao envio destas mensagens não é uma solução aceitável, pois tal medida impediria a receção de todos os emails legítimos que transitam pela plataforma da gigante tecnológica. Por este motivo, a Kaspersky recomenda que as empresas foquem os seus esforços na gestão rigorosa das permissões de acesso.
É fundamental aplicar o princípio do privilégio mínimo às contas de serviço e ativar a autenticação de vários fatores em todos os pontos de acesso. A rotação frequente de chaves e a imposição de restrições baseadas em endereços IP são igualmente medidas essenciais para garantir que, mesmo em caso de exposição, as credenciais não possam ser utilizadas de forma abusiva para comprometer a segurança da organização.
Nenhum comentário
Seja o primeiro!