Hackers misbruiken mailservers van Amazon Web Services om grootschalige phishing te versturen. De campagnes lopen wereldwijd, ook in Nederland en de EU, en zijn deze week opnieuw gesignaleerd. De criminelen versturen e-mails via Amazon Simple Email Service (SES) om beveiliging te omzeilen en inloggegevens of geld buit te maken. De kwestie raakt ook aan Europese regels rond cybersecurity en kunstmatige intelligentie, inclusief de Europese AI-verordening en gevolgen voor de overheid.
Amazon-infra wordt misbruikt
Bij de aanvallen gebruiken criminelen Amazon Simple Email Service, de legitieme verzenddienst van Amazon. Daardoor lijken berichten afkomstig van een vertrouwde bron en passeren ze vaak standaardcontroles. Doelen variëren van bedrijfsaccounts tot administraties van kleinere organisaties. Het resultaat is een hoge kans dat ontvangers de mail openen en op links klikken.
Het misbruik werkt omdat aanvallers bestaande cloud-accounts of verzendrechten kapen. Ze kunnen ook gebruikmaken van slecht beveiligde of gelekte inloggegevens. In beide gevallen versturen ze vervolgens phishing via infrastructuur die normaal door bedrijven wordt gebruikt. Zo profiteren zij van de goede reputatie van Amazon’s domeinen en IP-adressen.
De e-mails lokken slachtoffers naar nepportalen voor Microsoft 365, pakketbezorging of bankdiensten. Soms zit er malware achter een bijlage of link, bijvoorbeeld om sessietokens te stelen. Omdat de verzending via een legitieme dienst loopt, vallen klassieke waarschuwingen vaak weg. Dat maakt training en aanvullende controles extra belangrijk.
Authenticatie werkt hier tegen
Veel organisaties vertrouwen op SPF, DKIM en DMARC, drie standaarden die afzenders controleren. SPF beschrijft welke servers namens een domein mogen mailen; DKIM zet een digitale handtekening onder e-mails; DMARC bepaalt hoe om te gaan met mislukte controles. Bij gebruik van Amazon SES kloppen deze checks vaak, waardoor systemen een vals gevoel van veiligheid krijgen.
Een e-mail kan technisch “legaal” lijken met geldige SPF, DKIM en DMARC, maar tóch phishing zijn als criminelen legitieme infrastructuur gebruiken.
Ook algoritmen in secure email gateways leunen op deze signalen. Als die zwaar meewegen, glippen malafide berichten sneller door de filters. Aanvullende modellen die inhoud, links en afzendercontext scoren, verkleinen dat risico. Het is daarom nodig om meerdere lagen controle te combineren.
Striktere DMARC-instellingen bij de ontvangende partij helpen hier beperkt, omdat de aanvaller niet per se uw domein vervalst. Belangrijker is domeinalignment controleren en op reputatie van afzender- en verzenddomein te letten. Controleer ook of het gebruikte afzenderdomein logisch is voor de afzender, bijvoorbeeld een bank of bezorger.
Impact in Nederland en EU
Voor Nederlandse bedrijven en instellingen is het risico direct. Phishing kan leiden tot datalekken met boetekansen onder de AVG en meldplicht bij de Autoriteit Persoonsgegevens binnen 72 uur. NIS2, die in de EU wordt ingevoerd en op het moment van schrijven nationaal wordt uitgewerkt, legt extra zorgplichten op voor essentiële en belangrijke entiteiten. Daaronder vallen onder meer cloud- en digitale dienstverleners, maar ook sectoren als zorg, energie en vervoer.
Cloudproviders zoals Amazon Web Services vallen in Europa onder zwaardere beveiligings- en meldplichten. Bij misbruik van SES moeten zij snel ingrijpen, misbruikende accounts blokkeren en klanten informeren. Afnemers horen op hun beurt misbruikpogingen te detecteren en incidenten te melden. Deze ketenaanpak beperkt schade en verkort de tijd dat campagnes actief blijven.
Ook gemeenten en uitvoeringsorganisaties zijn kwetsbaar door veel e-mailcontact met burgers. Training van medewerkers en goede verificatieprocessen voor betalingen of wachtwoordresets zijn cruciaal. Zo verklein je de kans dat één klik leidt tot systeemtoegang of identiteitsfraude. Het combineren van mensgerichte maatregelen met technische controles is het meest effectief.
AI-verordening: gevolgen overheid
Veel e-mailbeveiliging gebruikt tegenwoordig kunstmatige intelligentie om verdachte patronen te vinden. Deze toepassingen vallen doorgaans niet in de hoogrisicoklasse van de Europese AI-verordening, maar transparantie en risicobeheer blijven nodig. Overheden moeten bij inkoop van AI-gestuurde detectietools letten op dataminimalisatie, uitlegbaarheid en prestaties op Nederlandstalige data. Zo voldoen ze aan Europese eisen en voorkomen ze blinde vlekken.
Voor publieke instellingen geldt dat beleidsafdelingen en CISO’s de inzet van algoritmen moeten documenteren. Denk aan testresultaten, foutmarges en hoe modellen omgaan met domeinalignment en linkanalyse. Leveranciers horen daarnaast updates te leveren wanneer aanvallers nieuwe trucs gebruiken, zoals misbruik van legitieme cloudinfrastructuur. Heldere contracten en auditrechten maken dit afdwingbaar.
Ook bedrijven doen er goed aan hun modelkeuzes en drempels te herzien. Zet authenticatiesignalen niet te zwaar aan in de weging, en voeg inhoudelijke en gedragsmatige checks toe. Met periodieke red-teaming tegen realistische cloud-misbruikscenario’s blijft de verdediging actueel.
Wat organisaties nu doen
Beperk vertrouwen in generieke verzenddomeinen zoals amazonses.com in allowlists. Sta alleen specifieke, bekende verzendadressen of -domeinen toe, en controleer domeinalignment streng. Activeer geavanceerde anti-phishing in Microsoft 365 of Google Workspace, inclusief URL-herkenning en bijlage-sandboxing. Voeg beleid toe voor extra controle bij betaal- of wachtwoordverzoeken.
Voor organisaties die zelf Amazon SES gebruiken: bescherm AWS-accounts met MFA, sleutelrotatie en least privilege. Houd verzendrechten (identities) strak bij, en monitor plotselinge pieken in verzendvolume of nieuwe afzenders. Stel alerts in op afwijkende regio’s en IP’s, en reageer snel met intrekken van sleutels. Zo voorkomt u dat uw eigen reputatie wordt misbruikt.
Training blijft nodig, maar maak die concreet en kort. Laat medewerkers recente voorbeelden zien die via legitieme infrastructuur zijn binnengekomen. Leer ze links te controleren, domeinnamen te lezen en gevoelige verzoeken te verifiëren via een tweede kanaal. Combineer dit met simulaties om gedrag te versterken.
Aanpak door providers nodig
Cloudproviders kunnen misbruik verder beperken met strengere verificatie van verzendrechten en snellere detectie van afwijkend gedrag. Denk aan algoritmen die plotselinge spikes of nieuwe doelgroepen opmerken, en automatische blokkades activeren. Duidelijke feedbackloops naar ontvangers en CERT’s verhogen de snelheid van ingrijpen. Transparantie-rapporten helpen klanten risico’s te begrijpen en maatregelen te nemen.
Voor Europese klanten is het relevant dat aanbieders aantoonbaar voldoen aan NIS2-principes en de AVG. Heldere logs, auditmogelijkheden en dataminimalisatie zijn hiervoor sleutelpunten. Contractueel vastgelegde reactietijden bij misbruik bieden extra zekerheid. Zo ontstaat een gezamenlijke verdedigingslijn tegen phishing via legitieme kanalen.
Tot slot vraagt dit probleem om sectorbrede uitwisseling van dreigingsinformatie. Deel indicatoren van compromittering via ISAC’s en nationale meldpunten, zoals het NCSC voor vitale sectoren. Hoe sneller patronen worden gedeeld, hoe korter campagnes standhouden. Dat verlaagt de schade voor burgers en bedrijven.
