Kaspersky mengungkap temuan terbaru terkait serangan phishing dan penipuan email bisnis atau Business Email Compromise (BEC) yang memanfaatkan layanan Amazon Simple Email Service (SES). Modus ini dinilai semakin sulit dideteksi karena pelaku menggunakan infrastruktur email sah milik Amazon untuk menyebarkan pesan berbahaya.
Dalam laporan yang dirilis pada 13 Mei 2026, Kaspersky menjelaskan bahwa Amazon SES merupakan layanan email berbasis cloud yang umum digunakan perusahaan dan pengembang untuk mengirim email pemasaran, notifikasi, hingga email transaksional dalam jumlah besar. Karena dikirim melalui layanan terpercaya, email tersebut berasal dari alamat IP bereputasi baik dan kerap menyertakan identitas resmi “.amazonses.com”, sehingga terlihat meyakinkan di mata korban.
Serangan ini bermula dari pencurian dan kebocoran kredensial Amazon Web Services (AWS). Pelaku memanfaatkan AWS Identity and Access Management (IAM) Keys yang bocor dan banyak ditemukan di repositori publik, penyimpanan cloud yang salah konfigurasi, maupun file konfigurasi yang terekspos. Dengan bantuan alat otomatis, para pelaku kemudian memverifikasi kunci yang masih aktif dan menggunakannya untuk mengirim email phishing dalam jumlah besar melalui infrastruktur resmi Amazon.
Para penyerang juga diketahui menyamarkan tautan berbahaya menggunakan domain terpercaya seperti amazonaws.com melalui teknik pengalihan tautan dan pembuatan template email HTML yang tampak profesional. Dalam sejumlah kasus, halaman phishing bahkan dihosting di infrastruktur yang terlihat sah sehingga meningkatkan peluang pencurian kredensial korban.
Salah satu kampanye yang diamati Kaspersky pada awal 2026 meniru platform penandatanganan dokumen digital seperti DocuSign. Dalam skema tersebut, korban menerima email yang meminta mereka meninjau dan menandatangani dokumen. Namun setelah diklik, korban diarahkan ke halaman login palsu yang dihosting melalui layanan Amazon Web Services untuk mencuri data akses pengguna.
Selain phishing, peneliti Kaspersky juga menemukan serangan BEC melalui Amazon SES di mana pelaku menyamar sebagai karyawan perusahaan dan memalsukan percakapan email dengan pemasok. Email tersebut umumnya dikirim ke departemen keuangan dengan permintaan pembayaran mendesak serta melampirkan dokumen PDF berisi detail rekening bank tanpa tautan mencurigakan, sehingga lebih sulit terdeteksi oleh sistem keamanan.
“Namun, penyalahgunaan Amazon SES menunjukkan tahap yang lebih maju: alih-alih hanya memanfaatkan fitur notifikasi platform, penyerang membahayakan kredensial cloud dan mendapatkan kendali langsung atas infrastruktur pengiriman email tepercaya. Hal ini memungkinkan mereka untuk meningkatkan skala serangan, menyesuaikan pesan secara keseluruhan, dan mengirimkan email phishing yang sulit dibedakan dari komunikasi bisnis yang sah,” ujar Roman Dedenok, Pakar Anti-Spam di Kaspersky.
Menurut Roman, pola serangan ini melanjutkan tren penyalahgunaan platform terpercaya yang sebelumnya juga ditemukan pada layanan seperti Google Tasks dan Google Forms. Penjahat siber memanfaatkan reputasi domain resmi untuk melewati filter keamanan email sekaligus mengeksploitasi kepercayaan pengguna.
Kaspersky mengingatkan organisasi untuk memperketat keamanan akses AWS dengan meminimalkan izin pengguna, mengganti kunci IAM statis dengan sistem berbasis peran, mengaktifkan autentikasi multi-faktor, membatasi akses berdasarkan alamat IP, serta rutin melakukan rotasi dan audit kredensial.
Sementara bagi pengguna individu, Kaspersky mengimbau agar tidak langsung mempercayai email hanya berdasarkan nama atau domain pengirim. Pengguna juga diminta lebih berhati-hati terhadap email yang tidak terduga, memverifikasi permintaan melalui saluran komunikasi terpisah, serta memeriksa tautan secara cermat sebelum mengkliknya meskipun terlihat berasal dari layanan resmi.
