Hackers kapen legitieme Amazon-mailservers voor phishing
Cybersecuritybedrijf Kaspersky luidt de noodklok over een nieuwe golf van phishing- en Business Email Compromise (BEC)-aanvallen. Aanvallers maken hierbij op grote schaal gebruik van Amazon Simple Email Service (SES), een vertrouwde clouddienst die normaal wordt gebruikt voor marketing- en transactiemails. Door deze legitieme infrastructuur te kapen, zijn de kwaadaardige berichten vrijwel niet van echt te onderscheiden.
Het misbruik van Amazon SES is een zorgwekkende ontwikkeling in het cyberlandschap van 2026. Omdat de e-mails afkomstig zijn van betrouwbare IP-adressen van Amazon en vaak de officiële “.amazonses.com”-kenmerken bevatten, zeilen ze moeiteloos langs technische filters.
Gestolen AWS-sleutels als toegangspoort
De wortel van het probleem ligt bij de diefstal van inloggegevens voor Amazon Web Services (AWS). Aanvallers leggen de hand op zogeheten Identity and Access Management (IAM) Keys. Deze beveiligingssleutels belanden vaak per ongeluk in publieke broncode-archieven, slecht beveiligde cloudopslag of onbeschermde configuratiebestanden.
Zodra criminelen deze sleutels in handen hebben, gebruiken ze geautomatiseerde tools om de geldigheid te controleren. Vervolgens kapen ze de infrastructuur van Amazon om enorme hoeveelheden malafide e-mails te versturen. Hierdoor lift de phishing-campagne mee op de uitstekende reputatie van Amazon, wat de kans op succes aanzienlijk vergroot.
DocuSign-vervalsing en BEC-fraude
Kaspersky observeerde begin 2026 verschillende campagnes. In één opvallend geval werden e-mails verstuurd die sprekend leken op notificaties van documentplatform DocuSign. Slachtoffers werden gevraagd een document te ondertekenen, maar werden via een legitiem lijkend Amazon-domein naar een frauduleuze inlogpagina geleid die hun gegevens stal.
Nog geraffineerder zijn de BEC-aanvallen. Hierbij doen aanvallers zich voor als collega’s of leveranciers. Ze fabriceren complete e-mailwisselingen om geloofwaardigheid op te bouwen. Deze berichten, vaak gericht aan financiële afdelingen, bevatten PDF-bijlagen met bankgegevens voor "urgente betalingen". Omdat deze PDF's geen kwaadaardige links bevatten, slaan traditionele virusscanners vaak niet aan. "De misbruik van Amazon SES vertegenwoordigt een geavanceerde fase in deze trend," aldus Roman Dedenok, Anti-Spam Expert bij Kaspersky. "Aanvallers nemen direct de controle over een vertrouwde verzendinfrastructuur. Hierdoor kunnen ze aanvallen opschalen en berichten versturen die bijna identiek zijn aan legitieme zakelijke communicatie."
Hoe kunt u zich beschermen?
Kaspersky benadrukt dat vertrouwen in een afzenderdomein niet langer voldoende is. Voor organisaties en individuen gelden de volgende adviezen:
Voor organisaties:
- Beveilig AWS-toegang: Minimaliseer toegangsrechten en vervang statische IAM-sleutels door tijdelijke rollen.
- MFA en Audits: Schakel multi-factor authenticatie (MFA) in en controleer regelmatig wie toegang heeft tot de cloudomgeving.
- IP-restricties: Beperk de toegang tot kritieke systemen tot specifieke IP-adressen.
Voor individuele gebruikers:
- Wees sceptisch: Vertrouw een e-mail niet blindelings op basis van de naam van de afzender of de domeinnaam.
- Controleer links: Beweeg uw muis over een link om het werkelijke doeladres te zien voordat u klikt.
- Verifieer via een ander kanaal: Krijgt u een onverwacht betaalverzoek? Bel de afzender op een bekend nummer om de echtheid te controleren.
