Kaspersky mengungkap pola phishing baru yang jauh lebih sulit dikenali karena pelaku tidak lagi mengandalkan domain mencurigakan. Mereka menumpang pada layanan resmi Amazon Simple Email Service atau SES sehingga email berbahaya bisa tampak sah di mata korban.
Strategi ini berbahaya karena memanfaatkan reputasi infrastruktur cloud yang tepercaya. Banyak filter keamanan email tradisional jadi lebih mudah dilewati saat pesan dikirim dari layanan resmi.
Email terlihat resmi karena lewat jalur tepercaya
Amazon SES adalah layanan email berbasis cloud milik Amazon yang umum dipakai perusahaan untuk notifikasi transaksi, reset password, promosi, dan verifikasi akun. Saat layanan ini disalahgunakan, pesan phishing bisa terlihat seperti komunikasi resmi perusahaan.
Kaspersky menyebut pelaku biasanya memperoleh akses dari kredensial AWS milik perusahaan atau pengembang yang diretas. Jika kunci AWS Identity and Access Management atau IAM bocor, peretas dapat mengirim email langsung melalui server resmi Amazon.
Dalam banyak kasus, email semacam ini juga memakai identitas “amazonses.com”. Kombinasi domain tepercaya dan alamat IP sah membuat pesan lebih mudah lolos dari sistem penyaring spam dan keamanan email.
Kredensial AWS sering bocor dari sumber yang luput diawasi
Menurut Kaspersky, kredensial AWS yang dicuri kerap ditemukan di repositori publik, cloud storage yang salah konfigurasi, atau file konfigurasi yang terekspos tanpa sengaja. Situasi ini membuka jalan bagi pelaku untuk mengambil alih akun dan memakainya dalam kampanye phishing.
Begitu infrastruktur resmi dikuasai, serangan menjadi lebih meyakinkan. Email tidak hanya terlihat legal, tetapi juga bisa dikirim dalam skala besar dengan pola yang sulit dibedakan dari komunikasi bisnis biasa.
DocuSign palsu dipakai untuk mencuri kredensial
Salah satu kampanye yang ditemukan pada awal 2026 meniru layanan tanda tangan digital seperti DocuSign. Korban menerima email yang meminta mereka meninjau dan menandatangani dokumen penting, sehingga pesan tampak profesional dan mendesak.
Setelah tautan dibuka, pengguna diarahkan ke halaman login palsu yang dihosting di layanan AWS. Halaman itu dibuat untuk mencuri username dan password, sementara tampilan infrastruktur cloud yang legal membuat banyak orang tidak langsung curiga.
Teknik ini makin sulit dikenali karena penyerang memakai redirect domain tepercaya seperti amazonaws.com untuk menyamarkan tautan berbahaya. Dari sisi korban, link tersebut terlihat aman untuk diklik.
BEC juga ikut memanfaatkan akun Amazon SES yang dibajak
Selain phishing biasa, Kaspersky juga mencatat peningkatan serangan Business Email Compromise atau BEC melalui Amazon SES. Dalam skema ini, pelaku menyamar sebagai karyawan perusahaan atau pemasok bisnis dan mengirim email ke bagian keuangan.
Email biasanya berisi permintaan pembayaran mendesak lengkap dengan lampiran PDF yang memuat detail rekening bank baru. Karena tidak selalu menyertakan tautan berbahaya, pesan seperti ini lebih sulit dideteksi oleh sistem keamanan email.
Skema BEC menjadi efektif karena memanfaatkan kepercayaan internal perusahaan. Komunikasinya tampak seperti percakapan bisnis normal, padahal tujuannya mengarahkan dana ke rekening milik pelaku.
Kaspersky melihat evolusi baru dalam phishing
Pakar Anti-Spam Kaspersky, Roman Dedenok, menjelaskan bahwa penyalahgunaan layanan cloud tepercaya seperti Amazon SES menunjukkan evolusi baru dalam phishing. Ia menilai level ancaman meningkat karena pelaku kini bisa mengambil alih langsung infrastruktur pengiriman email yang legit.
Sebelumnya, penyerang juga kerap memanfaatkan layanan populer seperti Google Forms atau Google Tasks untuk menyebar tautan phishing. Namun kini, kontrol atas layanan pengiriman email terpercaya membuat upaya penipuan menjadi jauh lebih meyakinkan.
Dengan akses seperti itu, penyerang bisa mengirim email massal, membuat pesan yang sangat personal, dan memalsukan komunikasi bisnis dengan lebih rapi. Kondisi ini membuat pengguna dan perusahaan perlu lebih waspada meski email terlihat berasal dari layanan yang dikenal luas.
Langkah pencegahan yang disarankan
Kaspersky menyarankan perusahaan memperketat keamanan AWS dengan membatasi izin akses, memakai multi-factor authentication atau MFA, mengganti kunci IAM secara berkala, dan menjalankan audit keamanan rutin. Langkah ini penting untuk mencegah akun resmi dipakai pihak tak berwenang.
Untuk pengguna umum, kewaspadaan tetap dibutuhkan meski email tampak berasal dari domain tepercaya. Setiap permintaan login, dokumen penting, atau pembayaran mendesak sebaiknya diverifikasi melalui jalur komunikasi lain sebelum ada tindakan lebih lanjut.
Source: id.mashable.com
