كشفت كاسبرسكي عن موجة من هجمات التصيّد الاحتيالي واختراق البريد الإلكتروني للأعمال (BEC) التي تستغل خدمة Amazon Simple Email Service (SES)، وهي خدمة بريدية سحابية تتيح للشركات والمطورين إرسال واستقبال كميات كبيرة من الرسائل التسويقية، والإشعارات، والرسائل المرتبطة بالمعاملات (مثل الرسائل الخاصة بإعادة تعيين كلمات المرور).
وبسبب اعتماد هذه الرسائل على خدمة موثوقة، فإنها تُرسل من عناوين IP ذات درجة موثوقية جيدة، وتحتوي غالباً على معرفات شرعية مثل «.
amazonses.
com»، مما يجعل من الصعب تمييزها تقنياً عن الرسائل الشرعية.
لذلك، يجب على المستخدمين التعامل بحذر بالغ مع أي رسائل غير متوقعة تصلهم عبر البريد الإلكتروني.
ترتكز هذه الهجمات على سرقة بيانات الاعتماد وتسريبها من خدمات الحوسبة السحابية من أمازون (AWS)؛ إذ يعمد المهاجمون إلى استخدام مفاتيح إدارة الهوية والوصول (IAM) المُسربة من AWS، والتي يتم العثور عليها عادةً في المستودعات العامة أو وحدات التخزين السحابية غير محكمة الإعداد، أو ملفات التهيئة المكشوفة.
وبالاستعانة بأدوات آلية، يمكن للمهاجمين رصد المفاتيح الفعالة واستغلالها لإرسال كميات كبيرة من الرسائل الاحتيالية عبر بنية تحتية شرعية تديرها أمازون.
يلجأ المهاجمون إلى إخفاء الروابط الخبيثة خلف نطاقات موثوقة مثل amazonaws.
com مستفيدين من تقنيات إعادة التوجيه، وتصميم رسائل بريد إلكتروني باستخدام لغة توصيف النص التشعبي HTML البرمجية لتبدو مقنعة واحترافية.
وفي العديد من الحالات، تتم استضافة صفحات التصيّد الاحتيالي على بنى تحتية تبدو موثوقة؛ مما يعزز فرص الاستيلاء على بيانات الاعتماد الخاصة بالضحايا.
وفي إحدى حملات التصيد التي رصدتها كاسبرسكي مطلع 2026، استغل المهاجمون رسائل بريد إلكتروني تنتحل هوية خدمات توقيع الوثائق مثل DocuSign.
حيث طلب من المستخدمين مراجعة المستندات وتوقيعها، ليتم تحويلهم إلى صفحات تسجيل دخول احتيالية مستضافة على خدمات الحوسبة السحابية من أمازون، بهدف سرقة بيانات الاعتماد الخاصة بهم.
بريد إلكتروني للتصيّد الاحتيالي يبدو كإشعار صادر عن منصة DocuSign.
ورصد الباحثون أيضاً هجمات اختراق البريد الإلكتروني للأعمال (BEC) تمت عبر خدمة Amazon SES، إذ قام المهاجمون بانتحال هويات موظفين وإنشاء محادثات بريدية مزيفة بالكامل مع المورّدين.
وهذه الرسائل، التي تُرسل عادةً إلى الإدارات المالية، كانت تطالب بإجراء دفعات مالية عاجلة، وتحتوي على ملفات PDF تتضمن معلومات عن حسابات بنكية فقط، دون إضافة أي روابط تبدو غير موثوقة؛ مما زاد من صعوبة اكتشافها.
مثال على سلسلة رسائل لاختراق البريد الإلكتروني للأعمال تم تنفيذها عبر خدمة Amazon SES.
وقال رومان ديدينوك، خبير مكافحة البريد العشوائي لدى كاسبرسكي: «سبق أن شهدنا استغلال المهاجمين لمنصات موثوقة، مثل Google Tasks وGoogle Forms؛ إذ اعتمد المحتالون على أنظمة الإشعارات الآلية المدمجة لإرسال روابط تصيّد احتيالي من نطاقات رسمية مثل @google.
com، مما ساعدهم في تجاوز مرشحات البريد الإلكتروني واستغلال ثقة المستخدمين.
لكن استغلال خدمة Amazon SES يمثل مرحلة أكثر تقدماً في هذا السياق؛ فبدلاً من مجرد استخدام مزايا الإشعارات في المنصة، يلجأ المهاجمون إلى اختراق بيانات اعتماد الخدمات السحابية والسيطرة المباشرة على بنية تحتية موثوقة لإرسال البريد الإلكتروني؛ مما يمكّنهم من توسيع نطاق الهجمات، وتخصيص الرسائل بدقة، وإرسال رسائل احتيالية يصعب تمييزها عن المراسلات التجارية المشروعة.
».
التعليقات (0)
لا توجد تعليقات حتى الآن. كن أول من يعلق!
أضف تعليقك