Os Cibercriminosos estão abusando do Amazon Simple Email Service, o Amazon SES, para enviar mensagens de phishing que passam por verificações tradicionais de segurança e parecem comunicações legítimas de empresas.
A técnica não explora uma vulnerabilidade direta no serviço da Amazon. O risco está no uso indevido de contas legítimas ou credenciais comprometidas, o que permite que os e-mails sejam enviados por uma infraestrutura confiável e amplamente usada por organizações.
Mensagens disparadas pelo Amazon SES normalmente carregam autenticação válida em SPF, DKIM e DMARC. Isso dificulta a detecção por filtros que dependem principalmente de reputação de IP, domínio remetente ou falhas em cabeçalhos técnicos.
Pesquisadores observaram aumento desse tipo de abuso no início de 2026. Um dos temas mais comuns envolve falsas notificações de assinatura eletrônica, com mensagens que imitam serviços como DocuSign e pedem que a vítima revise ou assine um documento.
Os links podem aparentar ligação com domínios da AWS, o que aumenta a confiança do usuário. Ao clicar, a vítima é redirecionada para páginas de coleta de credenciais hospedadas em infraestrutura de nuvem, tornando o golpe mais difícil de identificar.
Além do roubo de senhas, o Amazon SES também tem sido usado em campanhas de Business Email Compromise. Nesses casos, criminosos simulam conversas entre funcionários e fornecedores para pressionar departamentos financeiros a realizar transferências indevidas.
O acesso inicial costuma ocorrer por meio de chaves IAM vazadas.
