Cibercriminosos sequestram o Amazon SES para enviar phishing indetetável

João Fernandes Por
maio 24, 2026
Cibercriminosos sequestram o Amazon SES para enviar phishing indetetável
Segurança e Redes

A Kaspersky emitiu um alerta sobre uma nova e sofisticada vaga de campanhas de phishing e de compromisso de email empresarial (BEC) que está a utilizar o Amazon Simple Email Service (SES) como vetor primário de ataque. Sendo o SES um serviço cloud legítimo e altamente fiável, concebido para que empresas enviem grandes volumes de correio transacional e de marketing, as mensagens fraudulentas têm origem em endereços IP com excelente reputação. Ao incluírem identificadores oficiais como .amazonses.com, estes emails conseguem contornar facilmente os filtros de segurança e anti-spam tradicionais.

O motor destes ataques baseia-se no roubo e na exposição indevida de credenciais da infraestrutura Amazon Web Services (AWS). Os cibercriminosos têm recolhido ativamente chaves de Identidade e Gestão de Acessos (IAM) que foram deixadas expostas por erro humano em repositórios públicos de código, em instâncias de armazenamento cloud mal configuradas ou em ficheiros de configuração não protegidos. Com o auxílio de ferramentas automatizadas, os atacantes validam estas chaves e sequestram a infraestrutura da Amazon para enviar a sua correspondência maliciosa em massa.

Para tornar o esquema ainda mais credível e indetetável, os atacantes disfarçam as suas hiperligações utilizando domínios de confiança da própria AWS, como o amazonaws.com. Numa das campanhas detetadas no início de 2026, as vítimas recebiam falsos pedidos de assinatura de documentos imitando a popular plataforma DocuSign. Ao clicarem nas hiperligações presentes em templates HTML altamente realistas, os utilizadores eram redirecionados para páginas de login fraudulentas que estavam alojadas de forma legítima na própria AWS, aumentando drasticamente a taxa de sucesso no roubo das palavras-passe.

Além do roubo de dados de acesso, o Amazon SES está a ser ativamente abusado para ataques direcionados aos departamentos financeiros. Nestes esquemas de compromisso de email empresarial (BEC), os atacantes fazem-se passar por colaboradores e forjam longas cadeias de emails com falsos fornecedores. As mensagens solicitam pagamentos urgentes e fazem-se acompanhar de anexos em formato PDF contendo apenas dados bancários alterados. Como não incluem hiperligações maliciosas no corpo do texto, estas mensagens passam incólumes pelas barreiras de segurança corporativas mais restritas.

Segundo Roman Dedenok, especialista anti-spam da Kaspersky, esta tática representa uma evolução perigosa face a esquemas anteriores que abusavam de serviços como o Google Tasks ou o Google Forms. Em vez de se limitarem a explorar simples funcionalidades de notificação de uma plataforma, os cibercriminosos ganham agora controlo direto sobre uma infraestrutura de envio de emails de classe empresarial. Este nível de acesso privilegiado permite escalar as campanhas de forma autónoma e personalizar os emails para que sejam visualmente e tecnicamente idênticos a comunicações corporativas autênticas.

Para mitigar este risco crescente, a Kaspersky recomenda que as organizações reforcem urgentemente a segurança dos seus ambientes na AWS. As empresas devem aplicar o princípio do privilégio mínimo, substituir chaves IAM estáticas por funções dinâmicas, ativar a autenticação multifator (MFA) e auditar regularmente todas as credenciais ativas. Do lado do utilizador final, a regra de ouro passa por nunca confiar num email baseando-se apenas no nome do remetente, verificando sempre pedidos urgentes de pagamento ou de login através de canais de comunicação alternativos.

Classifique este item
(0 votos)
Ler 32 vezes
Tagged em
Mais nesta categoria: « Commvault alia-se à Hitachi Vantara e NetApp no ecossistema Flex Cisco anuncia alterações no CCNA para fevereiro de 2027 »

Itens relacionados

Top