خبراء أمن سيبراني يحذرون من استغلال حسابات Amazon في التصيد
الأربعاء - 13 مايو 2026
Wed - 13 May 2026
كشف الباحثون عن موجة من هجمات التصيّد الاحتيالي واختراق البريد الإلكتروني للأعمال (BEC) التي تستغل خدمة Amazon Simple Email Service (SES). وهي خدمة بريدية سحابية تتيح للشركات والمطورين إرسال واستقبال كميات كبيرة من الرسائل التسويقية والإشعارات والرسائل المرتبطة بالمعاملات مثل رسائل إعادة تعيين كلمات المرور.
وبسبب اعتماد هذه الرسائل على خدمة موثوقة، فإنها تُرسل من عناوين IP ذات درجة موثوقية عالية، وتحتوي غالباً على معرفات شرعية مثل «.amazonses.com»، مما يجعل تمييزها عن الرسائل الحقيقية صعباً من الناحية التقنية، ما يستدعي الحذر الشديد من أي رسائل غير متوقعة.
آلية تنفيذ الهجمات وكيفية تنفيذها؟
تعتمد هذه الهجمات التى رصدتها كاسبرسكي على سرقة بيانات الاعتماد وتسريبها من خدمات الحوسبة السحابية من أمازون (AWS)، حيث يستخدم المهاجمون مفاتيح إدارة الهوية والوصول (IAM) المسربة، والتي غالباً ما يتم العثور عليها في مستودعات عامة أو وحدات تخزين سحابية غير محكمة الإعداد أو ملفات تهيئة مكشوفة.
وباستخدام أدوات آلية، يتمكن المهاجمون من رصد المفاتيح الفعالة واستغلالها لإرسال كميات كبيرة من الرسائل الاحتيالية عبر بنية تحتية شرعية تديرها أمازون.
أساليب التمويه والتضليل لخداع المستخدمين
يلجأ المهاجمون إلى إخفاء الروابط الخبيثة خلف نطاقات موثوقة مثل amazonaws.com، مستفيدين من تقنيات إعادة التوجيه، كما يتم تصميم الرسائل باستخدام لغة HTML لتبدو احترافية ومقنعة.
وفي بعض الحالات، تُستضاف صفحات التصيّد على بنى تحتية موثوقة ظاهرياً، مما يزيد من صعوبة اكتشافها ويعزز فرص سرقة بيانات الضحايا.
حملات التصيّد عبر خدمات موثوقة
رصدت كاسبرسكي مطلع 2026 حملة تصيّد استخدمت رسائل بريد تنتحل هوية خدمات توقيع الوثائق مثل DocuSign، حيث طُلب من المستخدمين مراجعة المستندات وتوقيعها، ثم تم توجيههم إلى صفحات تسجيل دخول مزيفة مستضافة على خدمات الحوسبة السحابية من أمازون بهدف سرقة بيانات الاعتماد.
اختراق البريد الإلكتروني للأعمال (BEC)
رُصدت أيضاً هجمات BEC عبر خدمة Amazon SES، حيث قام المهاجمون بانتحال هويات موظفين وإنشاء محادثات بريدية مزيفة مع المورّدين.
وكانت هذه الرسائل تُرسل غالباً إلى الإدارات المالية، وتطلب دفعات مالية عاجلة، مع إرفاق ملفات PDF تحتوي على معلومات حسابات بنكية فقط دون روابط مشبوهة، ما صعّب عملية اكتشافها.
ومن جانبه، علق رومان ديدينوك، خبير مكافحة البريد العشوائي لدى كاسبرسكي، قائلا: إن المهاجمين سبق أن استغلوا منصات موثوقة مثل Google Tasks وGoogle Forms لإرسال روابط تصيّد عبر نطاقات رسمية، ما ساعدهم على تجاوز مرشحات البريد الإلكتروني.
وأوضح "ديدينوك" أن استغلال Amazon SES يمثل مرحلة أكثر تقدماً، إذ يعتمد المهاجمون هذه المرة على اختراق بيانات الاعتماد والسيطرة المباشرة على بنية تحتية موثوقة، ما يسمح بتوسيع نطاق الهجمات وتخصيص الرسائل بدقة وإرسالها بشكل يصعب تمييزه عن المراسلات الشرعية.
نصائح لتفادي الهجمات للمؤسسات والأفراد:
أولا المؤسسات:
-تقليل الأذونات إلى الحد الأدنى عند الوصول إلى AWS
-استبدال مفاتيح IAM الثابتة بالأدوار
-تفعيل المصادقة متعددة العوامل
-تقييد الوصول عبر عناوين IP محددة
-تحديث ومراجعة بيانات الاعتماد بشكل دوري
ثانيا للأفراد:
-عدم الوثوق بالرسائل بناءً على اسم المرسل أو النطاق فقط
-الحذر من الرسائل غير المتوقعة
-التحقق من صحة الرسائل عبر وسيلة اتصال أخرى
-فحص الروابط بدقة قبل فتحها حتى لو بدت موثوقة
وبسبب اعتماد هذه الرسائل على خدمة موثوقة، فإنها تُرسل من عناوين IP ذات درجة موثوقية عالية، وتحتوي غالباً على معرفات شرعية مثل «.amazonses.com»، مما يجعل تمييزها عن الرسائل الحقيقية صعباً من الناحية التقنية، ما يستدعي الحذر الشديد من أي رسائل غير متوقعة.
آلية تنفيذ الهجمات وكيفية تنفيذها؟
تعتمد هذه الهجمات التى رصدتها كاسبرسكي على سرقة بيانات الاعتماد وتسريبها من خدمات الحوسبة السحابية من أمازون (AWS)، حيث يستخدم المهاجمون مفاتيح إدارة الهوية والوصول (IAM) المسربة، والتي غالباً ما يتم العثور عليها في مستودعات عامة أو وحدات تخزين سحابية غير محكمة الإعداد أو ملفات تهيئة مكشوفة.
وباستخدام أدوات آلية، يتمكن المهاجمون من رصد المفاتيح الفعالة واستغلالها لإرسال كميات كبيرة من الرسائل الاحتيالية عبر بنية تحتية شرعية تديرها أمازون.
أساليب التمويه والتضليل لخداع المستخدمين
يلجأ المهاجمون إلى إخفاء الروابط الخبيثة خلف نطاقات موثوقة مثل amazonaws.com، مستفيدين من تقنيات إعادة التوجيه، كما يتم تصميم الرسائل باستخدام لغة HTML لتبدو احترافية ومقنعة.
وفي بعض الحالات، تُستضاف صفحات التصيّد على بنى تحتية موثوقة ظاهرياً، مما يزيد من صعوبة اكتشافها ويعزز فرص سرقة بيانات الضحايا.
حملات التصيّد عبر خدمات موثوقة
رصدت كاسبرسكي مطلع 2026 حملة تصيّد استخدمت رسائل بريد تنتحل هوية خدمات توقيع الوثائق مثل DocuSign، حيث طُلب من المستخدمين مراجعة المستندات وتوقيعها، ثم تم توجيههم إلى صفحات تسجيل دخول مزيفة مستضافة على خدمات الحوسبة السحابية من أمازون بهدف سرقة بيانات الاعتماد.
اختراق البريد الإلكتروني للأعمال (BEC)
رُصدت أيضاً هجمات BEC عبر خدمة Amazon SES، حيث قام المهاجمون بانتحال هويات موظفين وإنشاء محادثات بريدية مزيفة مع المورّدين.
وكانت هذه الرسائل تُرسل غالباً إلى الإدارات المالية، وتطلب دفعات مالية عاجلة، مع إرفاق ملفات PDF تحتوي على معلومات حسابات بنكية فقط دون روابط مشبوهة، ما صعّب عملية اكتشافها.
ومن جانبه، علق رومان ديدينوك، خبير مكافحة البريد العشوائي لدى كاسبرسكي، قائلا: إن المهاجمين سبق أن استغلوا منصات موثوقة مثل Google Tasks وGoogle Forms لإرسال روابط تصيّد عبر نطاقات رسمية، ما ساعدهم على تجاوز مرشحات البريد الإلكتروني.
وأوضح "ديدينوك" أن استغلال Amazon SES يمثل مرحلة أكثر تقدماً، إذ يعتمد المهاجمون هذه المرة على اختراق بيانات الاعتماد والسيطرة المباشرة على بنية تحتية موثوقة، ما يسمح بتوسيع نطاق الهجمات وتخصيص الرسائل بدقة وإرسالها بشكل يصعب تمييزه عن المراسلات الشرعية.
نصائح لتفادي الهجمات للمؤسسات والأفراد:
أولا المؤسسات:
-تقليل الأذونات إلى الحد الأدنى عند الوصول إلى AWS
-استبدال مفاتيح IAM الثابتة بالأدوار
-تفعيل المصادقة متعددة العوامل
-تقييد الوصول عبر عناوين IP محددة
-تحديث ومراجعة بيانات الاعتماد بشكل دوري
ثانيا للأفراد:
-عدم الوثوق بالرسائل بناءً على اسم المرسل أو النطاق فقط
-الحذر من الرسائل غير المتوقعة
-التحقق من صحة الرسائل عبر وسيلة اتصال أخرى
-فحص الروابط بدقة قبل فتحها حتى لو بدت موثوقة
