Kaspersky mengungkap cara baru yang membuat phishing makin sulit dikenali. Pelaku kini menumpang di layanan resmi Amazon Simple Email Service atau SES untuk mengirim email berbahaya yang tampak sah di mata korban.
Temuan ini menunjukkan bahwa ancaman tidak lagi datang dari domain mencurigakan semata. Dengan memanfaatkan infrastruktur cloud yang punya reputasi tinggi, penyerang bisa melewati banyak filter keamanan email tradisional.
Email tampak resmi karena dikirim lewat infrastruktur tepercaya
Amazon SES adalah layanan email berbasis cloud milik Amazon yang biasa dipakai perusahaan untuk notifikasi transaksi, reset password, promosi, dan verifikasi akun. Ketika layanan ini disalahgunakan, email phishing bisa terlihat seperti pesan resmi perusahaan.
Kaspersky menyebut pelaku biasanya memperoleh akses dari kredensial AWS milik perusahaan atau pengembang yang diretas. Jika kunci AWS Identity and Access Management atau IAM bocor, hacker dapat mengirim email langsung melalui server resmi Amazon.
Dalam banyak kasus, email semacam ini juga memanfaatkan identitas “amazonses.com”. Kombinasi domain tepercaya dan alamat IP yang sah membuat pesan lebih mudah lolos dari sistem penyaring spam dan keamanan email.
Kredensial AWS bocor dari sumber yang sering luput diawasi
Menurut Kaspersky, kredensial AWS yang dicuri kerap ditemukan di repositori publik, cloud storage yang salah konfigurasi, atau file konfigurasi yang terekspos tanpa sengaja. Kondisi ini membuka jalan bagi pelaku untuk mengambil alih akun dan memanfaatkannya untuk kampanye phishing.
Saat infrastruktur resmi sudah dikuasai, serangan menjadi lebih meyakinkan. Email tidak hanya terlihat legal, tetapi juga dapat dikirim dalam skala besar dengan pola yang sulit dibedakan dari komunikasi bisnis biasa.
Modus DocuSign palsu menyasar kredensial korban
Salah satu kampanye yang ditemukan pada awal 2026 meniru layanan tanda tangan digital seperti DocuSign. Korban menerima email yang meminta mereka meninjau dan menandatangani dokumen penting, sehingga pesan itu tampak profesional dan mendesak.
Begitu tautan dibuka, pengguna diarahkan ke halaman login palsu yang dihosting di layanan AWS. Halaman itu dibuat untuk mencuri username dan password, sementara penggunaan infrastruktur cloud yang terlihat legal membuat banyak orang tidak langsung curiga.
Teknik ini menjadi lebih berbahaya karena penyerang memakai redirect domain tepercaya seperti amazonaws.com untuk menyamarkan tautan berbahaya. Dari sisi korban, link tersebut terlihat aman untuk diklik.
BEC ikut memanfaatkan akun Amazon SES yang dibajak
Selain phishing biasa, Kaspersky juga mencatat peningkatan serangan Business Email Compromise atau BEC melalui Amazon SES. Dalam skema ini, pelaku menyamar sebagai karyawan perusahaan atau pemasok bisnis dan mengirim email ke bagian keuangan.
Email biasanya berisi permintaan pembayaran mendesak lengkap dengan lampiran PDF yang memuat detail rekening bank baru. Karena tidak selalu menyertakan tautan berbahaya, pesan seperti ini lebih sulit dideteksi oleh sistem keamanan email.
Skema BEC menjadi efektif karena memanfaatkan kepercayaan internal perusahaan. Komunikasinya tampak seperti percakapan bisnis normal, padahal tujuannya adalah mengarahkan dana ke rekening milik pelaku.
Kaspersky melihat evolusi baru dalam phishing
Pakar Anti-Spam Kaspersky, Roman Dedenok, menjelaskan bahwa penyalahgunaan layanan cloud tepercaya seperti Amazon SES menunjukkan evolusi baru dalam dunia phishing. Ia menilai level ancaman meningkat karena pelaku kini bisa mengambil alih langsung infrastruktur pengiriman email yang legit.
Sebelumnya, penyerang juga kerap memanfaatkan layanan populer seperti Google Forms atau Google Tasks untuk menyebar tautan phishing. Namun kini, kontrol atas layanan pengiriman email terpercaya membuat upaya penipuan menjadi jauh lebih meyakinkan.
Dengan akses seperti itu, penyerang bisa mengirim email massal, membuat pesan yang sangat personal, dan memalsukan komunikasi bisnis dengan lebih rapi. Kondisi ini membuat pengguna dan perusahaan perlu lebih waspada, meski email terlihat berasal dari layanan yang dikenal luas.
Langkah pencegahan yang disarankan
Kaspersky menyarankan perusahaan memperketat keamanan AWS dengan membatasi izin akses, memakai multi-factor authentication atau MFA, mengganti kunci IAM secara berkala, dan menjalankan audit keamanan rutin. Langkah ini penting untuk mencegah akun resmi dipakai pihak tak berwenang.
Untuk pengguna umum, kewaspadaan tetap dibutuhkan meski email tampak berasal dari domain tepercaya. Setiap permintaan login, dokumen penting, atau pembayaran mendesak sebaiknya diverifikasi melalui jalur komunikasi lain sebelum ada tindakan lebih lanjut.
Source: id.mashable.com-
-
-
-
