Saldırıların temelinde, Amazon Web Services’e (AWS) ait kimlik bilgilerinin çalınması ve açığa çıkması yer alıyor. Saldırganlar, çoğunlukla herkese açık kod depolarında, yanlış yapılandırılmış bulut depolama alanlarında ve ifşa edilmiş yapılandırma dosyalarında bulunan AWS Identity and Access Management (IAM) anahtarlarını kullanıyor. Tehdit aktörleri, otomatik araçlar yardımıyla geçerli anahtarları tespit ederek Amazon’un meşru altyapısı üzerinden yüksek hacimli zararlı e-postalar gönderiyor.

Saldırganlar ayrıca, amazonaws.com gibi güvenilir alan adlarını yönlendirmeler aracılığıyla kötüye kullanıyor ve son derece ikna edici HTML e-posta şablonları oluşturuyor. Pek çok vakada oltalama sayfaları, meşru görünümlü altyapılar üzerinde barındırılıyor. Bu da kullanıcı kimlik bilgilerinin ele geçirilme riskini önemli ölçüde artırıyor.

Kaspersky’nin 2026’nın başlarında gözlemlediği kampanyalardan birinde saldırganlar, DocuSign benzeri dijital doküman imzalama platformlarını taklit eden e-postalar gönderdi. Kullanıcılardan belgeleri inceleyip imzalamaları istenirken, aslında kimlik bilgilerini ele geçirmek amacıyla hazırlanmış sahte giriş sayfalarına yönlendirildikleri görüldü. Bu sahte sayfalar Amazon Web Services üzerinde barındırılan sahte giriş sayfalarına yönlendirildikleri görüldü.

DocuSign bildirimini taklit eden bir oltalama e-postası

Araştırmacılar ayrıca, Amazon SES üzerinden gerçekleştirilen ve saldırganların çalışan kılığına girerek tedarikçilerle sahte e-posta zincirleri oluşturduğu BEC (Business Email Compromise) saldırılarını da belirledi. Genellikle finans departmanlarını hedef alan bu mesajlar, acil ödeme talebi içeriyor ve içinde yalnızca banka detaylarının bulunduğu PDF ekleriyle iletiliyor. Herhangi bir zararlı bağlantı barındırmayan bu yöntem, saldırıların güvenlik yazılımları tarafından tespit edilmesini oldukça zorlaştırıyor.

Amazon SES üzerinden gönderilen kurumsal e-posta dolandırıcılığı zinciri örneği

Kaspersky Spam Karşıtı Uzmanı Roman Dedenok konuyla ilgili şu değerlendirmede bulundu: “Daha önce de saldırganların güvenilir platformları kötüye kullandığı örneklerle karşılaştık. Google Tasks ve Google Forms  vakalarında dolandırıcılar, yerleşik bildirim mekanizmalarını kullanarak @google.com gibi meşru alan adları üzerinden oltalama bağlantıları gönderiyor, böylece hem e-posta filtrelerini aşmayı hem de kullanıcı güvenini istismar etmeyi başarıyordu. Ancak Amazon SES’in kötüye kullanılması, bu eğilimin çok daha gelişmiş bir aşamasını temsil ediyor. Saldırganlar artık yalnızca platformların bildirim özelliklerinden yararlanmakla kalmıyor; bulut kimlik bilgilerini ele geçirerek güvenilir bir e-posta gönderim altyapısı üzerinde doğrudan kontrol sağlıyor. Bu da saldırıları büyük ölçekte yürütmelerine, mesajları tamamen özelleştirmelerine ve gerçek kurumsal iletişimlerden ayırt edilmesi oldukça güç oltalama e-postaları göndermelerine imkan tanıyor.”

Kaspersky, bu tür saldırılardan korunmak için şu önerilerde bulunuyor:

• Kurumlar, AWS erişimlerini minimum yetki prensibiyle sınırlandırmalı, statik IAM anahtarları yerine rol tabanlı erişim yöntemlerini tercih etmeli, çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeli, erişimleri IP bazında kısıtlamalı ve kimlik bilgilerini düzenli olarak yenileyip denetlemeli.
• Bireysel kullanıcılar ise yalnızca gönderen adı ya da alan adına güvenerek e-postaları meşru kabul etmemeli. Beklenmedik mesajlara karşı dikkatli yaklaşmalı, talepleri farklı bir iletişim kanalı üzerinden doğrulamalı ve bağlantılar güvenilir görünse bile tıklamadan önce dikkatlice kontrol etmeli.

Kaspersky, ele geçirilmiş Amazon Simple Email Service hesapları üzerinden gerçekleştirilen oltalama saldırılarına karşı uyardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

TÜRKİYE’NİN genç ve dinamik bankası Odeabank, müşteri odaklı en etkin hizmeti veren fijital banka olma vizyonu kapsamında, internet üzerinden daha güvenli ödeme yapma olanağı sağlayan yeni dijital kartını Bank’O Diji [email protected]’ı müşterilerinin kullanımına sundu.

Tamamen dijital olan Bank’O Diji [email protected] ile daha güvenli ve daha pratik ödeme imkanına kavuşacak olan Odeabank müşterilerinin dijital kartını fiziki olarak yanında taşıma gibi bir zorunluluğu olmayacak. Odeabank hayata geçirdiği Bank’O Diji [email protected] ile tamamen dijital platformlar üzerinden kullanıcılarına hizmet sağlayacak.

Teknolojik gelişmeleri iş süreçlerine hızlı bir şekilde entegre eden Odeabank, müşterilerinin kullanımına sunduğu Bank’O Diji [email protected]’ın kaybolma, çalınma riski bulunmuyor. Bank’O Diji [email protected] ile fatura ödemesinden alışverişe kadar mekân ve zamandan bağımsız olarak, tüm ödeme işlemlerini müşterilerine mobilden kendi kontrolünde yapma imkânı sunuyor.

Odeabank müşterileri sahip oldukları dijital kart ile nakit ihtiyaçları olması durumunda 7/24 anında nakit avans veya 12 aya varan vadelerle taksitli avans kullanabilecek. Dijital kart sahipleri kişiye özel dönemsel kampanyalar, sonradan taksitlendirme seçenekleri ve daha birçok avantaj elde edecek.

Fiziksel olmayan, tamamen dijital ve doğa dostu bir kart Bank’O Diji [email protected]’a sahip olmak isteyen Odeabank müşterileri şubeye gitmeden, kart teslim sürecini beklemeden, internet şube ve iletişim merkezi üzerinden başvuruda bulunabilecek.

“Odeabank olarak kişiye özel zengin hizmet sunuyoruz”

Konuya ilişkin değerlendirmelerde bulunan Odeabank Bireysel Bankacılıktan Sorumlu Genel Müdür Yardımcısı Gürcan Kırmızı, Odeabank’ın fijital bankacılık anlayışı kapsamında, müşterilerine kaliteli ve güvenilir hizmet sunduklarını belirtti. Kırmızı: “Odeabank olarak, kurulduğumuz günden bu yana “özgün fiziksel hizmetlerle bütünleştirilmiş en iyi dijital deneyimi sunan, Türkiye’nin önde gelen “fijital” bankası olma” vizyonu ile hareket ediyor ve müşterilerimizin ihtiyaçlarına en üst seviyede cevap veriyoruz. Müşteri odaklı yaklaşımımızla, ihtiyaçların kesintisiz ve hızlı karşılanmasını sağlayan dijital bankacılık kanallarını iyileştirmeye ve geliştirmeye devam ediyoruz.  Kişiselleştirilmiş ürün ve teklifler ile müşterilerimize hizmet vererek kendini özel hissetmelerini sağlıyoruz. Teknolojik gelişmeleri her zaman yakından takip ederek bankacılık işlemlerinde müşterilerimize değer yaratacak yenilikleri sistemlerimize entegre ediyoruz. Amacımız, müşterilerimizin bankacılık ihtiyaçlarını dijitalleştirerek hızlı ve güvenilir bankacılık hizmeti sunmak. Hayata geçirdiğimiz Bank’O Diji [email protected] ile müşterilerimize, dijital ortamda daha pratik ve daha hızlı işlem yapma imkanını sunuyoruz “ dedi.

Odeabank Bank’O Diji [email protected]’ın özellikleri: 

• Fiziki kart yok tamamen dijital bir kredi kartı
• Kredi kartı numarası ve CVV güvenlik koduna mobil bankacılık kanalından ulaşılır
• Onaylandığı anda kullanıma açılır
• Taksitli Avans/Nakit Avans kullanabilir
• Otomatik Fatura Ödeme Talimatı verilebilir
• Sanal Kart oluşturulabilir
• İşlemler sonradan taksitlendirilebilir
• Dönemsel kampanyalardan yararlanılabilir

Kaynak: (BYZHA) – Beyaz Haber Ajansı

Odeabank, dijital kart Bank’O Diji [email protected]’ı kullanıma sundu yazısı ilk önce En Gazete üzerinde ortaya çıktı.