Kaspersky, ele geçirilmiş Amazon Simple Email Service hesapları üzerinden gerçekleştirilen oltalama saldırılarına karşı uyardı

Kaspersky, işletmelerin ve geliştiricilerin yüksek hacimli pazarlama, bildirim ve işlem e-postaları gönderip almasına olanak tanıyan bulut tabanlı bir e-posta hizmeti olan Amazon Simple Email Service’in (SES), oltalama (phishing) ve kurumsal e-posta dolandırıcılığı (BEC) saldırılarında kötüye kullanıldığını tespit etti.

A⁺ A^-

• 11-05-2026 18:28
• 11-05-2026 18:28
• 7

Kaspersky, işletmelerin ve geliştiricilerin yüksek hacimli pazarlama, bildirim ve işlem e-postaları gönderip almasına olanak tanıyan bulut tabanlı bir e-posta hizmeti olan Amazon Simple Email Service’in (SES), oltalama (phishing) ve kurumsal e-posta dolandırıcılığı (BEC) saldırılarında kötüye kullanıldığını tespit etti. Güvenilir bir servis üzerinden gönderilen bu e-postalar, saygın IP adreslerinden iletiliyor ve çoğu zaman meşru “.amazonses.com” ibarelerini içeriyor. Bu durum, söz konusu oltalama mesajlarını teknik açıdan gerçek kurumsal yazışmalardan ayırt etmeyi son derece zorlaştırıyor. Kaspersky, kullanıcıların beklenmedik e-postalara karşı son derece temkinli yaklaşması gerektiğini vurguluyor.

Saldırıların temelinde, Amazon Web Services’e (AWS) ait kimlik bilgilerinin çalınması ve açığa çıkması yer alıyor. Saldırganlar, çoğunlukla herkese açık kod depolarında, yanlış yapılandırılmış bulut depolama alanlarında ve ifşa edilmiş yapılandırma dosyalarında bulunan AWS Identity and Access Management (IAM) anahtarlarını kullanıyor. Tehdit aktörleri, otomatik araçlar yardımıyla geçerli anahtarları tespit ederek Amazon’un meşru altyapı sı üzerinden yüksek hacimli zararlı e-postalar gönderiyor.

Saldırganlar ayrıca, amazonaws.com gibi güvenilir alan adlarını yönlendirmeler aracılığıyla kötüye kullanıyor ve son derece ikna edici HTML e-posta şablonları oluşturuyor. Pek çok vakada oltalama sayfaları, meşru görünümlü altyapılar üzerinde barındırılıyor. Bu da kullanıcı kimlik bilgilerinin ele geçirilme riskini önemli ölçüde artırıyor.

Kaspersky’nin 2026’nın başlarında gözlemlediği kampanyalardan birinde saldırganlar, DocuSign benzeri dijital doküman imzalama platformlarını taklit eden e-postalar gönderdi. Kullanıcılardan belgeleri inceleyip imzalamaları istenirken, aslında kimlik bilgilerini ele geçirmek amacıyla hazırlanmış sahte giriş sayfalarına yönlendirildikleri görüldü. Bu sahte sayfalar Amazon Web Services üzerinde barındırılan sahte giriş sayfalarına yönlendirildikleri görüldü.

 

DocuSign bildirimini taklit eden bir oltalama e-postası

Araştırmacılar ayrıca, Amazon SES üzerinden gerçekleştirilen ve saldırganların çalışan kılığına girerek tedarikçilerle sahte e-posta zincirleri oluşturduğu BEC (Business Email Compromise) saldırılarını da belirledi. Genellikle finans departmanlarını hedef alan bu mesajlar, acil ödeme talebi içeriyor ve içinde yalnızca banka detaylarının bulunduğu PDF ekleriyle iletiliyor. Herhangi bir zararlı bağlantı barındırmayan bu yöntem, saldırıların güvenlik yazılımları tarafından tespit edilmesini oldukça zorlaştırıyor.

Amazon SES üzerinden gönderilen kurumsal e-posta dolandırıcılığı zinciri örneği

Kaspersky Spam Karşıtı Uzmanı Roman Dedenok konuyla ilgili şu değerlendirmede bulundu: “Daha önce de saldırganların güvenilir platformları kötüye kullandığı örneklerle karşılaştık. Google Tasks ve Google Forms  vakalarında dolandırıcılar, yerleşik bildirim mekanizmalarını kullanarak @google.com gibi meşru alan adları üzerinden oltalama bağlantıları gönderiyor, böylece hem e-posta filtrelerini aşmayı hem de kullanıcı güvenini istismar etmeyi başarıyordu. Ancak Amazon SES’in kötüye kullanılması, bu eğilimin çok daha gelişmiş bir aşamasını temsil ediyor. Saldırganlar artık yalnızca platformların bildirim özelliklerinden yararlanmakla kalmıyor; bulut kimlik bilgilerini ele geçirerek güvenilir bir e-posta gönderim altyapısı üzerinde doğrudan kontrol sağlıyor. Bu da saldırıları büyük ölçekte yürütmelerine, mesajları tamamen özelleştirmelerine ve gerçek kurumsal iletişimlerden ayırt edilmesi oldukça güç oltalama e-postaları göndermelerine imkan tanıyor.”

Kaspersky, bu tür saldırılardan korunmak için şu önerilerde bulunuyor:

• Kurumlar, AWS erişimlerini minimum yetki prensibiyle sınırlandırmalı, statik IAM anahtarları yerine rol tabanlı erişim yöntemlerini tercih etmeli, çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeli, erişimleri IP bazında kısıtlamalı ve kimlik bilgilerini düzenli olarak yenileyip denetlemeli.
• Bireysel kullanıcılar ise yalnızca gönderen adı ya da alan adına güvenerek e-postaları meşru kabul etmemeli. Beklenmedik mesajlara karşı dikkatli yaklaşmalı, talepleri farklı bir iletişim kanalı üzerinden doğrulamalı ve bağlantılar güvenilir görünse bile tıklamadan önce dikkatlice kontrol etmeli.

 

Kaynak: (BYZHA) Beyaz Haber Ajansı