كاسبرسكي تحذر من هجمات تصيّد عبر حسابات مخترقة في خدمة Amazon SES

موجة هجمات تستغل خدمة Amazon SES
كشفت كاسبرسكي عن موجة من هجمات التصيّد الاحتيالي واختراق البريد الإلكتروني للأعمال BEC التي تستغل خدمة Amazon Simple Email Service SES، وهي خدمة بريدية سحابية تتيح للشركات والمطورين إرسال واستقبال كميات كبيرة من الرسائل التسويقية، والإشعارات، والرسائل المرتبطة بالمعاملات مثل الرسائل الخاصة بإعادة تعيين كلمات المرور. وبسبب اعتماد هذه الرسائل على خدمة موثوقة، فإنها تُرسل من عناوين IP ذات درجة موثوقية جيدة، وتحتوي غالبًا على معرفات شرعية مثل “.amazonses.com”، مما يجعل من الصعب تمييزها تقنيًا عن الرسائل الشرعية. لذلك، يجب على المستخدمين التعامل بحذر بالغ مع أي رسائل غير متوقعة تصلهم عبر البريد الإلكتروني.

سرقة مفاتيح IAM واستغلالها
ترتكز هذه الهجمات على سرقة بيانات الاعتماد وتسريبها من خدمات الحوسبة السحابية من أمازون AWS؛ إذ يعمد المهاجمون إلى استخدام مفاتيح إدارة الهوية والوصول IAM المُسربة من AWS، والتي يتم العثور عليها عادةً في المستودعات العامة أو وحدات التخزين السحابية غير محكمة الإعداد، أو ملفات التهيئة المكشوفة. وبالاستعانة بأدوات آلية، يمكن للمهاجمين رصد المفاتيح الفعالة واستغلالها لإرسال كميات كبيرة من الرسائل الاحتيالية عبر بنية تحتية شرعية تديرها أمازون.

إخفاء الروابط الخبيثة بنطاقات موثوقة
يلجأ المهاجمون إلى إخفاء الروابط الخبيثة خلف نطاقات موثوقة مثل http://amazonaws.com مستفيدين من تقنيات إعادة التوجيه، وتصميم رسائل بريد إلكتروني باستخدام لغة توصيف النص التشعبي HTML البرمجية لتبدو مقنعة واحترافية. وفي العديد من الحالات، تتم استضافة صفحات التصيّد الاحتيالي على بنى تحتية تبدو موثوقة؛ مما يعزز فرص الاستيلاء على بيانات الاعتماد الخاصة بالضحايا.

حملة تصيد تنتحل DocuSign
في إحدى حملات التصيد التي رصدتها كاسبرسكي مطلع 2026، استغل المهاجمون رسائل بريد إلكتروني تنتحل هوية خدمات توقيع الوثائق مثل DocuSign. حيث طُلب من المستخدمين مراجعة المستندات وتوقيعها، ليتم تحويلهم إلى صفحات تسجيل دخول احتيالية مستضافة على خدمات الحوسبة السحابية من أمازون، بهدف سرقة بيانات الاعتماد الخاصة بهم.

هجمات BEC تستهدف الإدارات المالية
رصد الباحثون أيضًا هجمات اختراق البريد الإلكتروني للأعمال BEC تمت عبر خدمة Amazon SES، إذ قام المهاجمون بانتحال هويات موظفين وإنشاء محادثات بريدية مزيفة بالكامل مع المورّدين. وهذه الرسائل، التي تُرسل عادةً إلى الإدارات المالية، كانت تطالب بإجراء دفعات مالية عاجلة، وتحتوي على ملفات PDF تتضمن معلومات عن حسابات بنكية فقط، دون إضافة أي روابط تبدو غير موثوقة؛ مما زاد من صعوبة اكتشافها.

تعليق خبير مكافحة البريد العشوائي
قال رومان ديدينوك، خبير مكافحة البريد العشوائي لدى كاسبرسكي: "سبق أن شهدنا استغلال المهاجمين لمنصات موثوقة، مثل Google Tasks وGoogle Forms؛ إذ اعتمد المحتالون على أنظمة الإشعارات الآلية المدمجة لإرسال روابط تصيّد احتيالي من نطاقات رسمية مثل ‎@google.com، مما ساعدهم في تجاوز مرشحات البريد الإلكتروني واستغلال ثقة المستخدمين. لكن استغلال خدمة Amazon SES يمثل مرحلة أكثر تقدمًا في هذا السياق؛ فبدلًا من مجرد استخدام مزايا الإشعارات في المنصة، يلجأ المهاجمون إلى اختراق بيانات اعتماد الخدمات السحابية والسيطرة المباشرة على بنية تحتية موثوقة لإرسال البريد الإلكتروني؛ مما يمكّنهم من توسيع نطاق الهجمات، وتخصيص الرسائل بدقة، وإرسال رسائل احتيالية يصعب تمييزها عن المراسلات التجارية المشروعة."

توصيات كاسبرسكي للمؤسسات والأفراد
لتفادي التعرض لمثل تلك الهجمات، توصي كاسبرسكي بما يلي:
يجب على المؤسسات تأمين الوصول إلى خدمات الحوسبة السحابية من أمازون AWS عبر تقليل الأذونات إلى الحد الأدنى، واستبدال مفاتيح إدارة الهوية والوصول IAM الثابتة بالأدوار، وتفعيل المصادقة متعددة العوامل، وتقييد الوصول على سبيل المثال عبر حصره لعناوين IP محددة، بالإضافة إلى تحديث بيانات الاعتماد بشكل دوري ومراجعتها بانتظام.

ينبغي للأفراد عدم الوثوق بالرسائل الإلكترونية التي تصلهم بناءً على اسم المرسل أو نطاق البريد الإلكتروني فقط. ويجب عليهم التعامل بحذر مع الرسائل غير المتوقعة، والتحقق من صحة مضمون الرسالة عبر وسيلة اتصال أخرى، وفحص الروابط بدقة قبل فتحها حتى لو بدت صادرة عن خدمات موثوقة.