Email phishing kini tidak lagi selalu datang dari alamat mencurigakan yang mudah diwaspadai. Kaspersky menemukan bahwa pelaku mulai menumpang pada Amazon Simple Email Service atau SES, sehingga pesan berbahaya bisa tampak seperti komunikasi resmi dan lebih mudah lolos dari filter keamanan.
Cara ini membuat serangan terasa jauh lebih meyakinkan bagi korban. Saat email dikirim lewat layanan resmi milik Amazon, reputasi infrastruktur tepercaya ikut membantu menyamarkan niat asli pengirim.
Amazon SES sendiri adalah layanan email berbasis cloud yang memang dipakai banyak perusahaan untuk notifikasi transaksi, reset kata sandi, promosi, hingga verifikasi akun. Ketika layanan itu disalahgunakan, email phishing bisa tampil seperti pesan sah dari perusahaan sungguhan.
Kaspersky menyebut akses ke layanan ini biasanya didapat pelaku dari kredensial AWS milik perusahaan atau pengembang yang sudah diretas. Jika kunci AWS Identity and Access Management atau IAM bocor, peretas dapat mengirim email langsung melalui server resmi Amazon.
Dalam banyak kasus, pesan semacam ini juga memakai identitas “amazonses.com”. Gabungan domain tepercaya dan alamat IP sah membuat email lebih sulit dibedakan dari komunikasi normal dan lebih mudah melewati sistem penyaring spam.
Yang membuat situasi makin rumit, kredensial AWS yang dicuri sering muncul dari sumber yang jarang diawasi. Kaspersky menemukan kasus ketika kunci itu tersimpan di repositori publik, cloud storage yang salah konfigurasi, atau file konfigurasi yang terekspos tanpa sengaja.
Begitu akun resmi diambil alih, penyerang bisa memakai infrastruktur tersebut untuk kampanye phishing dalam skala besar. Email yang dikirim bukan hanya tampak legal, tetapi juga bisa dirancang sangat rapi dan menyerupai komunikasi bisnis biasa.
Salah satu pola yang disorot Kaspersky adalah penipuan yang meniru layanan tanda tangan digital seperti DocuSign. Korban menerima email berisi permintaan untuk meninjau dan menandatangani dokumen penting, sehingga pesan terlihat profesional dan mendesak.
Saat tautan di dalam email dibuka, pengguna diarahkan ke halaman login palsu yang dihosting di layanan AWS. Halaman itu dibuat untuk mencuri nama pengguna dan kata sandi, sementara tampilan infrastruktur cloud yang sah membuat banyak orang tidak langsung curiga.
Teknik ini juga disamarkan lewat redirect domain tepercaya seperti amazonaws.com. Dari sisi korban, tautan seperti itu terlihat aman untuk diklik, padahal ujungnya tetap mengarah ke jebakan pencurian kredensial.
Selain phishing biasa, Kaspersky juga melihat peningkatan serangan Business Email Compromise atau BEC melalui Amazon SES yang dibajak. Dalam skema ini, pelaku menyamar sebagai karyawan perusahaan atau pemasok bisnis lalu mengirim email ke bagian keuangan.
Email BEC biasanya berisi permintaan pembayaran mendesak dan lampiran PDF yang memuat detail rekening bank baru. Karena tidak selalu menyertakan tautan berbahaya, pesan seperti ini lebih sulit dideteksi oleh sistem keamanan email.
Roman Dedenok, pakar Anti-Spam Kaspersky, menilai penyalahgunaan layanan cloud tepercaya seperti Amazon SES menunjukkan evolusi baru dalam phishing. Menurut dia, ancaman meningkat karena pelaku kini bisa mengambil alih langsung infrastruktur pengiriman email yang legit.
Ia juga menyoroti bahwa sebelumnya penyerang kerap memanfaatkan layanan populer seperti Google Forms atau Google Tasks untuk menyebarkan tautan phishing. Kini, kontrol atas layanan pengiriman email terpercaya membuat penipuan menjadi jauh lebih meyakinkan.
Kaspersky menyarankan perusahaan memperketat keamanan AWS dengan membatasi izin akses, memakai autentikasi multifaktor atau MFA, mengganti kunci IAM secara berkala, dan menjalankan audit keamanan rutin. Langkah-langkah ini penting untuk mencegah akun resmi dipakai pihak yang tidak berwenang.
Bagi pengguna umum, kewaspadaan tetap diperlukan meski email tampak berasal dari domain tepercaya. Setiap permintaan login, dokumen penting, atau pembayaran mendesak sebaiknya diverifikasi lewat jalur komunikasi lain sebelum ada tindakan lebih lanjut.
Source: id.mashable.com
