Így működik az új adathalász trükk
A támadók a TruffleHoghoz hasonló eszközökkel pásztázzák végig a GitHub-repozitóriumokat, .env-fájlokat, Docker image-eket és a nyilvános S3-tárolókat, hogy AWS-hez tartozó kulcsokat és hitelesítési adatokat szerezzenek. Amint ezek megvannak, villámgyorsan felmérik a hozzáférési szinteket és az e-mail-küldési korlátokat. Ha minden adott, elkezdődhet a nagyszabású átverős levélkampány. A csalók egyedi HTML-sablont használnak, amely egy igazi szolgáltatást másol le, sokszor banki vagy szerződéses bejelentkezési oldalnak álcázva magukat, de gyakran bukkannak fel hamis DocuSign-meghívók vagy az üzleti e-mail kompromittálása (Business Email Compromise, BEC) típusú csalások is.
Miért ennyire veszélyesek ezek a támadások?
Mivel az Amazon Simple Email Service alapvetően megbízható, ezek a csaló e-mailek gond nélkül átmennek az SPF-, DKIM- és DMARC-ellenőrzésein. Sőt, az IP-alapú tiltás sem megoldás, mert ez minden Amazonról érkező levelet elzárna, nem csak a veszélyeseket. Az új trend lehetővé teszi, hogy a támadók ne saját, gyanús weboldalakat és kétes levelezőrendszereket építsenek, hanem meglévő, legitim rendszereken keresztül szórják szét a csaló üzeneteket.
Mit lehet tenni?
Biztonsági szakértők azt javasolják, hogy mindig a minimálisan szükséges jogosultságokat adjuk meg, amikor felhasználókat vagy alkalmazásokat kezelünk. Érdemes a hagyományos IAM-kulcsok helyett szerepköralapú hozzáférést bevezetni az AWS-en, és bekapcsolni a kétfaktoros (MFA) hitelesítést. A kulcsrotáció automatikusan történjen, adatainkat pedig érdemes központi kulcskezeléssel titkosítani az AWS Key Management Service (KMS) segítségével.
