Kaspersky ungkap maraknya phishing via infrastruktur Amazon SES

JAKARTA (IndoTelko) — Kaspersky mengungkap meningkatnya serangan phishing dan Business Email Compromise (BEC) yang memanfaatkan akun Amazon Web Services Simple Email Service (SES) yang telah diretas. Modus ini dinilai berbahaya karena email dikirim melalui infrastruktur resmi Amazon sehingga tampak sah dan sulit dibedakan dari komunikasi bisnis asli.

Amazon SES sendiri merupakan layanan email berbasis cloud milik AWS yang umum digunakan perusahaan untuk mengirim email pemasaran, notifikasi, hingga transaksi otomatis. Karena berasal dari alamat IP terpercaya dan menggunakan domain resmi “.amazonses.com”, email palsu tersebut lebih mudah lolos dari filter keamanan.

Kaspersky menjelaskan bahwa serangan ini bermula dari pencurian kredensial AWS, khususnya AWS Identity and Access Management (IAM) Keys. Kredensial tersebut umumnya ditemukan di repositori publik, penyimpanan cloud yang salah konfigurasi, maupun file konfigurasi yang terbuka.

Setelah mendapatkan akses, pelaku dapat menggunakan layanan Amazon SES untuk mengirim email phishing dalam jumlah besar melalui infrastruktur resmi Amazon.

Dalam praktiknya, pelaku menyamarkan tautan berbahaya menggunakan domain terpercaya seperti amazonaws.com dan membuat template email HTML yang menyerupai komunikasi resmi perusahaan. Bahkan, halaman phishing kerap dihosting pada infrastruktur yang tampak legal sehingga semakin meyakinkan korban.

Salah satu kampanye yang ditemukan Kaspersky pada awal 2026 menyamar sebagai layanan penandatanganan dokumen digital seperti DocuSign. Korban diminta meninjau dan menandatangani dokumen, namun kemudian diarahkan ke halaman login palsu yang dihosting di layanan AWS untuk mencuri kredensial akun.

Selain phishing, Kaspersky juga menemukan praktik penipuan email bisnis (Business Email Compromise/BEC) melalui Amazon SES. Dalam skema ini, pelaku menyamar sebagai karyawan perusahaan dan memalsukan percakapan email dengan pemasok.

Pesan yang dikirim umumnya ditujukan ke divisi keuangan dengan permintaan pembayaran mendesak disertai lampiran PDF berisi detail rekening bank baru, tanpa menyisipkan tautan mencurigakan sehingga lebih sulit terdeteksi.

“Penyalahgunaan Amazon SES menunjukkan evolusi serangan yang lebih canggih. Penyerang tidak hanya memanfaatkan fitur platform terpercaya, tetapi juga mengambil alih infrastruktur email resmi untuk meningkatkan skala dan kredibilitas serangan mereka,” ujar Pakar Anti-Spam Kaspersky, Roman Dedenok.

Untuk mengurangi risiko, Kaspersky merekomendasikan organisasi memperkuat keamanan akses AWS dengan membatasi izin pengguna, mengganti IAM key statis dengan role berbasis akses, mengaktifkan autentikasi multi-faktor (MFA), serta melakukan audit dan rotasi kredensial secara berkala.

Sementara bagi pengguna individu, Kaspersky mengimbau agar tidak langsung mempercayai email hanya berdasarkan nama atau domain pengirim. Pengguna juga disarankan memverifikasi permintaan melalui saluran terpisah dan memeriksa tautan secara teliti sebelum mengkliknya, meskipun terlihat berasal dari layanan resmi. (mas)