كتب : وائل الجعفري

حذرت شركة كاسبرسكي من موجة جديدة من هجمات التصيّد الاحتيالي واختراق البريد الإلكتروني للأعمال BEC، تعتمد على استغلال خدمة Amazon Simple Email Service – Amazon SES، وهي خدمة بريدية سحابية تتيح للشركات والمطورين إرسال واستقبال كميات كبيرة من الرسائل التسويقية والإشعارات والرسائل المرتبطة بالمعاملات، مثل رسائل إعادة تعيين كلمات المرور.

وأوضحت كاسبرسكي أن خطورة هذه الهجمات تكمن في أن الرسائل الاحتيالية يتم إرسالها عبر بنية تحتية موثوقة تابعة لأمازون، ومن عناوين IP ذات درجة موثوقية مرتفعة. كما قد تحتوي على معرفات شرعية مثل amazonses.com. كما يجعل تمييزها تقنيًا عن الرسائل المشروعة أكثر صعوبة. ويزيد احتمالات تجاوزها لمرشحات البريد الإلكتروني التقليدية.

كما أضافت الشركة أن هذه الهجمات ترتكز على سرقة بيانات الاعتماد وتسريبها من خدمات الحوسبة السحابية من أمازون AWS. حيث يستغل المهاجمون مفاتيح إدارة الهوية والوصول IAM المسربة. والتي قد يتم العثور عليها في مستودعات عامة أو وحدات تخزين سحابية غير مؤمنة بشكل كافٍ أو ملفات تهيئة مكشوفة.

وبحسب كاسبرسكي، يستخدم المهاجمون أدوات آلية لرصد المفاتيح الفعالة واستغلالها في إرسال كميات كبيرة من الرسائل الاحتيالية عبر البنية التحتية الشرعية لأمازون. كما يمنح هذه الرسائل مظهرًا أكثر مصداقية مقارنة بالرسائل الاحتيالية التقليدية.

وأشارت الشركة إلى أن المهاجمين يلجأون كذلك إلى إخفاء الروابط الخبيثة خلف نطاقات موثوقة مثل amazonaws.com. مستفيدين من تقنيات إعادة التوجيه، إلى جانب تصميم رسائل بريد إلكتروني احترافية باستخدام لغة HTML لتبدو وكأنها صادرة عن جهات حقيقية. وفي بعض الحالات، تتم استضافة صفحات التصيد على بنى تحتية تبدو موثوقة، بهدف زيادة فرص سرقة بيانات اعتماد الضحايا.

وكشفت كاسبرسكي أنها رصدت مطلع عام 2026 حملة تصيد احتيالي استغل فيها المهاجمون رسائل بريد إلكتروني تنتحل هوية خدمات توقيع الوثائق مثل DocuSign. حيث طلب من المستخدمين مراجعة مستندات وتوقيعها، قبل تحويلهم إلى صفحات تسجيل دخول احتيالية مستضافة على خدمات أمازون السحابية بهدف سرقة بياناتهم.

كما رصد باحثو الشركة هجمات لاختراق البريد الإلكتروني للأعمال عبر خدمة Amazon SES. انتحل فيها المهاجمون هويات موظفين وأنشأوا محادثات بريدية مزيفة بالكامل مع موردين. واستهدفت هذه الرسائل غالبًا الإدارات المالية، مطالبةً بتنفيذ دفعات مالية عاجلة. ومرفقة بملفات PDF تتضمن معلومات حسابات بنكية فقط، دون روابط مشبوهة ظاهرة، وهو ما زاد من صعوبة اكتشافها.

وقال رومان ديدينوك، خبير مكافحة البريد العشوائي لدى كاسبرسكي. إن المهاجمين سبق أن استغلوا منصات موثوقة مثل Google Tasks وGoogle Forms. عبر أنظمة الإشعارات الآلية لإرسال روابط تصيد احتيالي من نطاقات رسمية مثل google.com. كما ساعدهم على تجاوز مرشحات البريد الإلكتروني واستغلال ثقة المستخدمين.

وأضاف أن استغلال خدمة Amazon SES يمثل مرحلة أكثر تقدمًا، إذ لا يقتصر الأمر على استخدام مزايا الإشعارات داخل المنصة. بل يمتد إلى اختراق بيانات اعتماد الخدمات السحابية والسيطرة المباشرة على بنية تحتية موثوقة لإرسال البريد الإلكتروني. كما يتيح للمهاجمين توسيع نطاق الهجمات وتخصيص الرسائل بدقة، وإرسال رسائل احتيالية يصعب تمييزها عن المراسلات التجارية المشروعة.