Kaspersky, işletmelerin ve geliştiricilerin yüksek hacimli pazarlama, bildirim ve işlem e-postaları gönderip almasına olanak tanıyan bulut tabanlı bir e-posta hizmetinin, oltalama (phishing) ve kurumsal e-posta dolandırıcılığı (BEC) saldırılarında kötüye kullanıldığını tespit etti.

Şirketten yapılan açıklamaya göre, saldırıların temelinde, saldırıya maruz kalan şirkete ait kimlik bilgilerinin çalınması ve açığa çıkması yer alıyor. Saldırganlar, çoğunlukla herkese açık kod depolarında, yanlış yapılandırılmış bulut depolama alanlarında ve ifşa edilmiş yapılandırma dosyalarında bulunan AWS Identity and Access Management (IAM) anahtarlarını kullanıyor. Tehdit aktörleri, otomatik araçlar yardımıyla geçerli anahtarları tespit ederek, meşru altyapı üzerinden yüksek hacimli zararlı e-postalar gönderiyor.

Güvenilir bir servis üzerinden gönderilen bu e-postalar, saygın IP adreslerinden iletiliyor ve çoğu zaman meşru ".amazonses.com" ibarelerini içeriyor. Bu durum, söz konusu oltalama mesajlarını teknik açıdan gerçek kurumsal yazışmalardan ayırt etmeyi son derece zorlaştırıyor.

Saldırganlar ayrıca, güvenilir alan adlarını yönlendirmeler aracılığıyla kötüye kullanıyor ve HTML e-posta şablonları oluşturuyor. Pek çok vakada oltalama sayfaları, meşru görünümlü altyapılar üzerinde barındırılıyor. Bu da kullanıcı kimlik bilgilerinin ele geçirilme riskini önemli ölçüde artırıyor.

Kaspersky'nin 2026'nın başlarında gözlemlediği kampanyalardan birinde saldırganlar, DocuSign benzeri dijital doküman imzalama platformlarını taklit eden e-postalar gönderdi. Kullanıcılardan belgeleri inceleyip imzalamaları istenirken, aslında kimlik bilgilerini ele geçirmek amacıyla hazırlanmış sahte giriş sayfalarına yönlendirildikleri görüldü.

Araştırmacılar ayrıca, saldırganların çalışan kılığına girerek tedarikçilerle sahte e-posta zincirleri oluşturduğu Business Email Compromise (BEC) saldırılarını da belirledi. Genellikle finans departmanlarını hedef alan bu mesajlar, acil ödeme talebi içeriyor ve içinde yalnızca banka detaylarının bulunduğu PDF ekleriyle iletiliyor. Herhangi bir zararlı bağlantı barındırmayan bu yöntem, saldırıların güvenlik yazılımları tarafından tespit edilmesini oldukça zorlaştırıyor.

Açıklamada görüşlerine yer verilen Kaspersky Spam Karşıtı Uzmanı Roman Dedenok daha önce de saldırganların güvenilir platformları kötüye kullandığı örneklerle karşılaştıklarını belirtti.

Dedenok, bazı vakalarda dolandırıcıların, yerleşik bildirim mekanizmalarını kullanarak "@google.com" gibi meşru alan adları üzerinden oltalama bağlantıları gönderdiğini vurgulayarak, şunları kaydetti:

"Saldırganlar artık yalnızca platformların bildirim özelliklerinden yararlanmakla kalmıyor. Bulut kimlik bilgilerini ele geçirerek güvenilir bir e-posta gönderim altyapısı üzerinde doğrudan kontrol sağlıyor. Bu da saldırıları büyük ölçekte yürütmelerine, mesajları tamamen özelleştirmelerine ve gerçek kurumsal iletişimlerden ayırt edilmesi oldukça güç oltalama e-postaları göndermelerine imkan tanıyor."

Kaspersky, bu tür saldırılardan korunmak için kurumların, AWS erişimlerini minimum yetki prensibiyle sınırlandırması gerektiğini öneriyor. Kaspersky ayrıca kurumların statik IAM anahtarları yerine rol tabanlı erişim yöntemlerini tercih etmeli ve çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeli, erişimleri IP bazında kısıtlamalı ve kimlik bilgilerini düzenli olarak yenileyip denetlemeli tavsiyelerinde bulundu.

Bireysel kullanıcılar da yalnızca gönderen adı ya da alan adına güvenerek e-postaları meşru kabul etmemesi gerektiği yarısında bulunan Kaspersky uzmanları, kullanıcıların beklenmedik mesajlara karşı dikkatli yaklaşılması, taleplerin farklı bir iletişim kanalı üzerinden doğrulanması ve bağlantıların güvenilir görünse bile tıklamadan önce dikkatlice kontrol edilmesi gerektiğini vurguladı.