Kalastelusuodattimet eivät auta, kun huijausviesti tulee Amazonin omilta palvelimilta
Sähköpostin todennusprotokollat eivät suojaa, kun hyökkääjät lähettävät viestinsä Amazonin oman pilvi-infrastruktuurin kautta. Uudessa kampanjassa ei ole edes haitallisia linkkejä, vaan pelkkiä väärennettyjä laskuja ja sähköpostikeskusteluja.
Tiivistelma
Rikolliset käyttävät varastettuja AWS-tunnuksia lähettääkseen kalasteluviestejä Amazonin SES-palvelun kautta. Viestit läpäisevät kaikki sähköpostin todennustarkistukset aidosti, ja uudentyyppisessä yrityshuijauksessa käytetään väärennettyjä laskuketjuja ilman linkkejä. Suomalaiset organisaatiot ovat yhtä alttiita hyökkäykselle.
Miten kalasteluviesti voi läpäistä kaikki turvatarkistukset? Ei väärennetyllä lähettäjätiedolla, vaan koska viesti todella tulee luotetulta palvelimelta.
Tietoturvayhtiö Kasperskyn tuore analyysi kuvaa kampanjan, jossa rikolliset lähettävät kalasteluviestejä Amazonin omasta SES-sähköpostipalvelusta. SES on Amazonin pilvipalvelu, jota kymmenet tuhannet yritykset käyttävät uutiskirjeiden, tilausvahvistusten ja muiden viestien lähettämiseen. Kun hyökkääjät käyttävät samaa palvelua, vastaanottajan sähköpostisuodatin ei näe eroa aidon ja huijausviestin välillä.
Varastetut avaimet avaavat ovet
Hyökkäykset alkavat varastetuista AWS-tunnuksista. Kaspersky kertoo, että rikolliset löytävät IAM-avaimia GitHub-koodeista, palvelinkonfiguraatioista ja väärin suojatuista S3-tallennustiloista.
Tietoturvayhtiö Wiz Research dokumentoi toukokuussa 2025 kampanjan, jossa yhdestä murretusta AWS-tilistä lähetettiin 50 000 kalasteluviestiä päivässä. Hyökkääjät käyttivät ovelan tekniikan: he lähettivät samanaikaisesti API-pyyntöjä kaikkiin AWS-alueisiin kymmenessä sekunnissa ja pääsivät näin ohi SES-palvelun testirajoituksista suoraan tuotantotilaan.
Tietoturvayhtiö Cofense on seurannut Amazonin pilvipalveluiden väärinkäyttöä vuodesta 2021. Trendi on kiihtyvä ja hyökkäykset yhä järjestelmällisempiä.
– Hyökkääjät käyttävät pilvialustoja kuin laillinen yritys käyttäisi: skaalautuvasti ja automaatiolla, Kasperskyn tutkijat toteavat analyysissään.
Kaksi hyökkäysmallia, yksi yhteinen piirre
Kasperskyn analyysi erottaa kaksi varianttia. Ensimmäisessä uhri saa DocuSign-aiheisen viestin, joka ohjaa amazonaws.com-osoitteessa sijaitsevalle kalastelusivulle. Tuttu malli, mutta poikkeuksellisen vaikea estää.
Toinen variantti on todella uudenlainen. Siinä ei ole linkkejä lainkaan. Hyökkääjät rakentavat väärennettyjä sähköpostikeskusteluja, joissa useampi henkilö näyttää keskustelevan toimittajan laskusta.
Liitteenä on väärennetty PDF-lasku. Vastaanottaja uskoo liittyvänsä käynnissä olevaan keskusteluun ja maksaa laskun.
Miksi tämä toimii niin hyvin? Koska perinteiset suodattimet etsivät haitallisia linkkejä ja epäilyttäviä liitteitä. Kun viestissä on vain tavallinen PDF ja normaalia keskustelua, suodattimen hälytyskynnys ei ylity.
SPF, DKIM ja DMARC (sähköpostin todennusprotokollat)
Nämä kolme protokollaa tarkistavat, tuleeko sähköposti oikealta palvelimelta ja onko sitä muutettu matkalla. Amazon SES -hyökkäyksessä todennukset menevät läpi aidosti, koska viesti tulee oikeasti Amazonin palvelimelta. Todennusprotokollat kertovat viestin alkuperän, eivät lähettäjän aikeita.
Tunnistusmerkit
Kun tekniset suodattimet pettävät, sisältöä pitää arvioida itse.
- Odottamaton laskukeskustelu. Jos saat sähköpostiketjun, johon et ole osallistunut, kyseessä voi olla väärennetty keskusteluhistoria.
- PDF-lasku tuntemattomalta toimittajalta. Aito lasku liittyy aina tunnettuun tilaukseen tai sopimukseen. Tarkista yrityksen taloushallinnosta ennen maksamista.
- Kiire maksaa. Huijauslaskuissa vedotaan usein erääntymispäivään tai viivästysmaksuihin.
- DocuSign-viesti ilman kontekstia. Jos et odota allekirjoituspyyntöä, älä avaa linkkiä. Tarkista asia suoraan väitetyn lähettäjän kanssa.
Mitä tehdä
Älä luota pelkkään todennukseen. SPF- ja DKIM-merkinnät kertovat, mistä viesti lähetettiin, eivät sitä, onko viesti luotettava. Arvioi aina viestin sisältö ja konteksti.
Tarkista laskut yrityksen omista järjestelmistä. Jos saat PDF-laskun sähköpostitse, varmista asia taloushallinnolta tai soita suoraan toimittajalle käyttäen itse etsimääsi numeroa.
Ilmoita epäilyttävistä viesteistä Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Jos yrityksesi on maksanut huijauslaskun, ota välittömästi yhteys pankkiin ja tee rikosilmoitus poliisi.fi-palvelussa.
Suomessa poliisi kirjasi vuonna 2025 yhteensä 10 272 verkkopetostapausta, ja arvioitu kokonaisvahinko nousi noin 88 miljoonaan euroon. Toistaiseksi ei ole julkista näyttöä siitä, että juuri tämä Amazon SES -kampanja olisi kohdistunut suomalaisiin yrityksiin.
Tekniikka ei kuitenkaan tunne rajoja. Sama hyökkäysmalli toimii kaikkialla, missä organisaatiot käyttävät AWS-palveluita – ja Suomessa niitä käyttävät varsin monet.