Illustration Absmeier foto magnific

IT-Sicherheitsexperten warnen vor Phishing- und Business-Email-Compromise-Angriffen, bei denen Cyberkriminelle kompromittierte Konten von Amazon Simple Email Service (SES) nutzen. Dieser cloudbasierte E-Mail-Dienst wird von Unternehmen und Entwicklern für den Versand großer Mengen an Marketing-, Benachrichtigungs- und Transaktionsmails eingesetzt – etwa für Passwort-Zurücksetzungen oder Statusmeldungen.

Dabei geben sich die Angreifer als Mitarbeiter aus und fälschen vollständige E-Mail-Verläufe mit Lieferanten. Die Nachrichten richteten sich häufig an Finanzabteilungen, enthielten dringende Zahlungsaufforderungen und PDF-Anhänge mit Bankdaten – jedoch keine schädlichen Links. Dies erschwert die Erkennung durch klassische Sicherheitsmechanismen.

Die entsprechenden Phishing-Mails werden über den legitimen Dienst versendet, so dass diese von seriösen IP-Adressen stammen und häufig über die legitime ».amazonses.com«-Endung verfügen. Dadurch sind diese Mails auf technischer Ebene nur schwer von legitimer Geschäftskorrespondenz zu unterscheiden.

Die Angriffe basieren auf gestohlenen oder öffentlich zugänglichen Zugangsdaten für Amazon Web Services. Die Kaspersky-Analyse der Angriffe zeigt, dass die Angreifer hierfür geleakte AWS Identity and Access Management Keys nutzen, die häufig in öffentlichen Repositories, falsch konfigurierten Cloud-Speichern oder exponierten Konfigurationsdateien zu finden sind. Mithilfe automatisierter Tools können gültige Schlüssel identifiziert und anschließend missbraucht werden, um große Mengen schädlicher E-Mails über eine legitime Amazon-Infrastruktur zu versenden.

Roman Dedenok, Anti-Spam-Experte bei Kaspersky, kommentiert:

»Wir beobachten immer wieder, dass Angreifer vertrauenswürdige Plattformen missbrauchen, um Phishing-Links über legitime Domains zu verbreiten. So können E-Mail-Filter umgangen und das Vertrauen der Nutzer ausgenutzt werden. Der Missbrauch von Amazon SES geht hier jedoch noch einen Schritt weiter: die Angreifer nutzen nicht nur die Benachrichtigungsfunktionen einer Plattform, sondern kompromittieren Cloud-Zugangsdaten und erhalten direkten Zugriff auf eine vertrauenswürdige E-Mail-Versandinfrastruktur. Dadurch können sie Angriffe skalieren, Nachrichten vollständig anpassen und Phishing-E-Mails versenden, die nur schwer von legitimer Geschäftskommunikation zu unterscheiden sind.«

Kaspersky-Empfehlungen für Unternehmen zum Schutz vor Angriffen über kompromittierte Cloud-Zugänge

Zugriffsrechte auf AWS-Ressourcen nach dem Least-Privilege-Prinzip minimieren und regelmäßig überprüfen.
Statische IAM-Schlüssel nach Möglichkeit durch Rollen ersetzen.
Mehrstufige Authentifizierung für Cloud-Zugänge aktivieren.
Zugriffe einschränken, beispielsweise über IP-basierte Regeln.
Zugangsdaten regelmäßig ändern und auf missbräuchliche Nutzung auditieren.
Unerwartete Zahlungsaufforderungen, Änderungen von Bankdaten oder Dokumentenfreigaben über einen separaten Kommunikationskanal verifizieren.
Links in E-Mails sorgfältig prüfen – auch dann, wenn sie scheinbar von legitimen Diensten oder Domains stammen.

Screenshots der Phishing-Masche

2279 Artikel zu „Phishing „

News | Trends 2025 | Trends Security | E-Commerce | Favoriten der Redaktion | Trends Services | IT-Security | Tipps

Phishing boomt (nicht nur) im Weihnachtsgeschäft

1. Dezember 2025

Gefälschte und mit Schadsoftware verseuchte E-Mails, SMS oder QR-Codes: Sicherheitstipps für Online-Shopping vor Weihnachten. In der Vorweihnachtszeit boomt der Onlinehandel, angeheizt durch Rabattwochen rund um »Black Friday« und »Cyber Monday«. Doch wo Verbraucherinnen und Verbraucher nach Schnäppchen suchen, lauern häufig auch Betrüger. Phishing zählt dabei laut dem aktuellen »Bundeslagebild Cybercrime« des Bundeskriminalamts (BKA) zu den…