Il phishing su Amazon SES è al centro di un nuovo avviso di Kaspersky, che ha segnalato campagne basate sull’abuso di account compromessi di Amazon Simple Email Service. Il problema nasce quando credenziali AWS rubate o esposte finiscono nelle mani dei cybercriminali.

Il servizio Amazon SES viene usato normalmente da aziende e sviluppatori per inviare grandi volumi di e-mail. Parliamo di notifiche, comunicazioni marketing, messaggi transazionali e avvisi automatici. Proprio per questo gode di una reputazione tecnica elevata.

Quando un attaccante riesce a sfruttare credenziali valide, può inviare e-mail dannose attraverso un’infrastruttura considerata affidabile. Di conseguenza, i messaggi diventano più difficili da distinguere dalla posta legittima, soprattutto a livello tecnico.

Phishing Amazon SES: perché è più insidioso

Le e-mail inviate tramite Amazon SES possono provenire da indirizzi IP attendibili e includere identificatori riconducibili al dominio amazonses.com. Questo rende il filtro tradizionale meno efficace, perché il messaggio non arriva da una fonte palesemente sospetta.

Inoltre, gli aggressori possono nascondere link dannosi dietro domini percepiti come sicuri, come amazonaws.com: usano reindirizzamenti, pagine ospitate su infrastrutture legittime e template HTML curati.

Per l’utente finale, l’e-mail può sembrare normale, per l’azienda, invece, aumenta il rischio di furto credenziali, accessi non autorizzati e frodi finanziarie.

Il problema non riguarda Amazon SES come strumento in sé: riguarda l’abuso di account cloud compromessi, spesso legato a credenziali finite online per errori di configurazione o cattive pratiche di sicurezza.

Credenziali AWS rubate e chiavi IAM esposte

Secondo Kaspersky, molti attacchi partono da chiavi IAM di AWS trapelate: queste chiavi possono finire in repository pubblici, archivi cloud configurati male o file di configurazione lasciati esposti.

I cybercriminali usano poi strumenti automatizzati per cercare credenziali valide. Una volta trovate, possono sfruttarle per inviare grandi quantità di e-mail attraverso infrastrutture legittime.

Questa dinamica rende l’attacco più scalabile ed inoltre, permette di creare campagne più convincenti, perché il mittente non appare come un classico dominio improvvisato per truffe.

Per le aziende, quindi, la protezione degli accessi cloud diventa una priorità. Non basta proteggere la casella e-mail, serve controllare anche chiavi, permessi, ruoli e configurazioni dell’ambiente AWS.

Phishing Amazon SES e finti documenti DocuSign

Una delle campagne rilevate da Kaspersky a inizio 2026 imitava comunicazioni di piattaforme di firma elettronica, come DocuSign.

La vittima riceveva una richiesta per esaminare e firmare un documento. Dopo il clic, però, veniva reindirizzata verso una pagina fraudolenta ospitata su un sito collegato ad Amazon Web Services.

Lo scopo era raccogliere credenziali di accesso. Il meccanismo funziona perché sfrutta un’abitudine ormai diffusa: ricevere documenti, contratti o conferme tramite piattaforme digitali.

In ambito aziendale, questo tipo di messaggio può passare facilmente inosservato: arriva in un contesto credibile, usa un tema comune e sembra collegato a un’operazione normale.

Attacchi BEC senza link sospetti

Kaspersky ha segnalato anche casi di Business Email Compromise veicolati tramite Amazon SES. In questi attacchi, i cybercriminali si fingono dipendenti e costruiscono intere conversazioni con fornitori o uffici finanziari.

La parte più delicata è l’assenza di link dannosi. In diversi casi, i messaggi includono solo allegati PDF con coordinate bancarie e richieste di pagamento urgente.

Questo rende il rilevamento più complesso. Molti sistemi di sicurezza cercano link, allegati malevoli o domini sospetti ma qui, invece, l’attacco punta sulla credibilità della conversazione e sulla pressione operativa.

Per questo gli uffici amministrativi devono verificare sempre le richieste di pagamento tramite un canale separato. Una chiamata interna o una conferma diretta possono evitare un trasferimento verso un conto fraudolento.

Come proteggersi dagli attacchi via cloud

Per le aziende, Kaspersky ha consigliato di rafforzare la sicurezza dell’accesso ad AWS. La prima misura riguarda la riduzione dei permessi, applicando il principio del minimo privilegio.

Inoltre, conviene sostituire le chiavi IAM statiche con ruoli, abilitare l’autenticazione a più fattori e limitare l’accesso in base a criteri precisi, come indirizzi IP autorizzati.

Serve anche una rotazione periodica delle credenziali. Allo stesso tempo, le aziende dovrebbero controllare con regolarità repository, archivi cloud e file di configurazione, per evitare esposizioni accidentali.

Per gli utenti, invece, la regola resta meno tecnica ma altrettanto importante. Non bisogna fidarsi di un’e-mail solo perché il mittente sembra noto o il dominio appare legittimo.

La fiducia nei servizi legittimi diventa un bersaglio

Questi attacchi mostrano un’evoluzione delle truffe via e-mail. I criminali non provano più soltanto a imitare un servizio noto. Cercano di usare infrastrutture reali e reputate, così da aggirare parte dei controlli.

È una strategia pericolosa, perché sfrutta proprio ciò che utenti e aziende considerano affidabile. Prima Google Forms, Google Tasks e altre piattaforme legittime; ora anche servizi cloud usati per inviare e-mail su larga scala.

La difesa, quindi, deve diventare più attenta al contesto. Un messaggio può arrivare da un’infrastruttura affidabile e restare comunque dannoso.

Il phishing su Amazon SES conferma quanto sia sottile il confine tra comunicazione legittima e attacco ben costruito. Per questo servono strumenti di sicurezza aggiornati, ma anche procedure interne solide e utenti più attenti davanti alle richieste inattese.