Amazon Simple Email Service (SES) è diventato uno dei vettori più insidiosi del phishing moderno. I ricercatori di Kaspersky hanno documentato un incremento significativo di campagne che sfruttano il servizio di posta elettronica cloud di Amazon per recapitare messaggi malevoli che superano indisturbati i controlli di autenticazione standard, inclusi quelli SPF, DKIM e DMARC. Il risultato è un'email tecnicamente legittima, proveniente da indirizzi IP affidabili e da domini riconducibili ad amazonaws.com, praticamente impossibili da distinguere da una comunicazione autentica.

Il punto di partenza degli attacchi è la diffusa esposizione delle credenziali AWS nei repository pubblici. I cybercriminali utilizzano strumenti automatizzati basati su TruffleHog (un'utility open source nata per la scansione di repository alla ricerca di segreti esposti) per individuare chiavi valide di gestione delle identità e degli accessi (IAM) AWS. Le fonti di esposizione comprendono repository GitHub, file .ENV, immagini Docker, backup e bucket S3 configurati in modo errato o accessibili pubblicamente.

Una volta individuata una chiave prende il via un processo rapido e industrializzato: i bot verificano automaticamente i permessi associati e i limiti di invio di email; se la chiave risulta abilitata all'uso di SES, il gioco è fatto. L'attaccante ottiene il controllo diretto di un'infrastruttura di invio di email affidabile, senza dover costruire da zero domini sospetti o server di posta propri, e senza doversi preoccupare di finire nelle blacklist degli IP.

Il mittente non desta alcun sospetto

Le campagne rilevate dai ricercatori Kaspersky si articolano in due varianti principali, distinte per obiettivo e tecnica ma accomunate dall'uso di Amazon SES come infrastruttura di consegna.

La prima è il phishing classico per furto di credenziali. Tra le campagne più diffuse nella prima parte del 2026, quella che impersonava piattaforme di firma elettronica come DocuSign. Le vittime ricevono un'email apparentemente proveniente dal servizio, con una richiesta di revisione e firma di un documento. Il link incluso nel messaggio reindirizza a una pagina di accesso ospitata su infrastruttura AWS, l'URL contiene riferimenti ad amazonaws.com, e la pagina è costruita con template HTML personalizzati che replicano fedelmente l'interfaccia del servizio legittimo. Qualsiasi credenziale inserita finisce direttamente nelle mani degli attaccanti.

La seconda variante è più complessa ed è classificabile come Business Email Compromise (BEC). In questi casi gli attaccanti costruiscono interi thread di conversazione simulando un'interazione prolungata tra un dipendente dell'organizzazione target e un fornitore esterno. I messaggi, spesso indirizzati agli uffici finanziari, richiedono pagamenti urgenti e includono allegati PDF con all’interno solo le coordinate bancarie, senza link malevoli. L'assenza di URL sospetti ostacola il rilevamento automatico, e la presenza di una catena di messaggi precedenti contribuisce a costruire una falsa sensazione di contesto e legittimità.

Non è la prima volta che i cybercriminali sfruttano infrastrutture legittime per aggirare i filtri. In passato Kaspersky ha documentato abusi analoghi su Google Tasks e Google Forms, in cui i meccanismi di notifica integrati venivano usati per inviare link di phishing da domini @google.com. L'abuso di Amazon SES rappresenta però un salto qualitativo perché non si limita a sfruttare una funzionalità secondaria di una piattaforma: gli attaccanti compromettono le credenziali cloud e ottengono il controllo diretto di un'infrastruttura dedicata all'invio massivo di email. Questo consente loro di personalizzare i messaggi, scalare a volumi enormi e produrre comunicazioni che risultano convincenti anche a un'analisi visiva attenta, oltre che superare i controlli standard.

Un ulteriore elemento di complessità difensiva è che bloccare gli IP mittenti non è una soluzione praticabile, perché un approccio del genere comporterebbe il blocco di tutte le email legittime inviate tramite Amazon SES da migliaia di aziende reali.

Le contromisure consigliate

Sul fronte della sicurezza degli account AWS, i ricercatori indicano come priorità la riduzione al minimo dei permessi associati alle chiavi IAM seguendo il principio del least privilege. Sono caldeggiate inoltre la transizione dalle chiavi IAM statiche ai ruoli AWS, l'abilitazione dell'autenticazione a più fattori, la configurazione di restrizioni di accesso basate sull'IP e la rotazione periodica delle credenziali con audit regolari.

Per gli utenti finali, il consiglio è di non fidarsi di un'email basandosi esclusivamente sul nome o sul dominio del mittente. Piuttosto, verificare le richieste inattese attraverso un canale separato e controllare attentamente i link prima di cliccarli, anche quando sembrano provenire da servizi riconosciuti.