- Cibercriminosos estão usando o Amazon Simple Email Service (SES) para enviar phishing que passa por filtros e parece mensagens legítimas.
- O abuso não decorre de falha no serviço; utiliza contas legítimas ou credenciais comprometidas para enviar e-mails.
- As mensagens costumam ter autenticação válida em SPF, DKIM e DMARC, dificultando a detecção por filtros que consideram apenas reputação de IP ou domínio.
- No início de 2026 houve aumento desse tipo de golpe, com notificações falsas de assinatura eletrônica que imitam DocuSign e pedem revisão ou assinatura de documentos.
- Os links podem parecer ligados a domínios da AWS, levando a páginas de coleta de credenciais hospedadas na nuvem; há ainda casos de Business Email Compromise, com conversas simuladas para pressionar transferências. • O acesso inicial costuma ocorrer por meio de chaves IAM vazadas.
Nos cibercriminosos estão explorando o Amazon SES, serviço de envio de e-mails da Amazon, para distribuir mensagens de phishing. A técnica não aproveita uma falha no serviço, mas utiliza contas legítimas ou credenciais comprometidas para mandar mensagens via infraestrutura confiável.
Os e-mails enviados pelo SES costumam apresentar autenticação válida em SPF, DKIM e DMARC. Esse conjunto dificulta a detecção por filtros que dependem de reputação de IP ou do domínio remetente, tornando as mensagens menos suspeitas à primeira vista.
Pesquisadores identificaram o aumento dessa prática no início de 2026. Entre os golpes mais comuns estão notificações falsas de assinatura eletrônica que imitam serviços como DocuSign, pedindo que a vítima revise ou assine um documento.
Os links presentes nessas mensagens costumam parecer ter relação com domínios da AWS, o que aumenta a confiança do destinatário. Ao clicar, a vítima é direcionada a páginas de coleta de credenciais hospedadas na nuvem, dificultando a identificação do golpe.
Além do roubo de senhas, o SES tem sido utilizado em campanhas de Business Email Compromise. Nessas operações, criminosos simulam conversas entre funcionários e fornecedores para pressionar departamentos financeiros a realizar transferências indevidas.
O acesso inicial normalmente ocorre por meio de chaves IAM vazadas, que permitem aos fraudadores enviar e-mails pelos recursos associados às contas comprometidas.
Entre na conversa da comunidade