لم يعد الأمر مجرد رسائل مشبوهة يسهل تمييزها بنظرة واحدة، باتت هجمات التصيد الاحتيالي أكثر تطورًا وخداعًا من أي وقت مضى، وهذه المرة تختبئ خلف اسم تثق به، أمازون.

كشفت شركة كاسبرسكي عن موجة خطيرة من هجمات التصيد الاحتيالي واختراق البريد الإلكتروني للأعمال، تستغل خدمة Amazon Simple Email Service أو ما يُعرف بـ SES، وهي الخدمة البريدية السحابية التي تتيح للشركات والمطورين إرسال ملايين الرسائل التسويقية والإشعارات والمعاملات اليومية، وما يجعل هذه الهجمات بالغة الخطورة أنها تأتي من عناوين تحمل معرف شرعيًا مثل amazonses.com، مما يجعل اكتشافها تقنيًا أمرًا شبه مستحيل.

كيف يعمل المهاجمون؟

الخطوة الأولى في هذه الهجمات تبدأ بسرقة مفاتيح إدارة الهوية والوصول IAM الخاصة بخدمات أمازون السحابية AWS، يجد المهاجمون هذه المفاتيح في أماكن يغفل عنها كثيرون، المستودعات البرمجية العامة، ووحدات التخزين السحابي غير المُحكمة، وملفات التهيئة المكشوفة على الإنترنت.

 وبمجرد الحصول على مفتاح فعال، يستخدمون أدوات آلية لإرسال آلاف الرسائل الاحتيالية عبر البنية التحتية الشرعية لأمازون ذاتها، مما يمنحهم درجة موثوقية عالية تخترق معظم مرشحات البريد الإلكتروني.

ولا يتوقف الأمر عند ذلك، إذ يُخفي المهاجمون الروابط الخبيثة خلف نطاقات amazonaws.com المعروفة، مستخدمين تقنيات إعادة التوجيه وكودًا برمجيًا بلغة HTML يجعل الرسائل تبدو في منتهى الاحترافية والمصداقية.

حملة DocuSign.. مثال حي على الخداع

رصدت كاسبرسكي في مطلع عام 2026 حملة تصيد بارعة استغل فيها المهاجمون ثقة المستخدمين بخدمة توقيع الوثائق الشهيرة DocuSign، كانت الرسائل تطلب من الضحايا مراجعة مستند وتوقيعه، فإذا ضغط المستخدم على الرابط وجد نفسه أمام صفحة تسجيل دخول احتيالية مستضافة على خوادم أمازون السحابية نفسها، مما يجعل عنوان الصفحة يبدو آمنًا تمامًا للوهلة الأولى.

إلى جانب التصيد الاحتيالي، رصد باحثو كاسبرسكي نوعًا أكثر خطورة من الهجمات يستهدف الشركات مباشرة، إذ انتحل المهاجمون هويات موظفين حقيقيين وبنوا محادثات بريدية مزيفة بالكاملة مع موردين وشركاء تجاريين، كانت هذه الرسائل تُرسل إلى الإدارات المالية وتطالب بتحويلات مالية عاجلة، مرفقةً بملفات PDF تحتوي على بيانات حسابات بنكية، وهو ما يجعل اكتشافها أصعب بكثير لأنها لا تحتوي على أي روابط مشبوهة.

قال رومان ديدينوك، خبير مكافحة البريد العشوائي في كاسبرسكي، إن استغلال خدمة Amazon SES يمثل مرحلة أكثر تقدمًا مقارنة بالهجمات السابقة التي استغلت منصات مثل Google Tasks وGoogle Forms، فبدلًا من مجرد توظيف مزايا الإشعارات التلقائية في تلك المنصات، يسيطر المهاجمون هذه المرة مباشرةً على البنية التحتية البريدية الموثوقة، مما يمنحهم قدرة غير مسبوقة على توسيع نطاق الهجمات وتخصيصها بدقة عالية، وإرسال رسائل لا يكاد يفرق بينها وبين المراسلات التجارية الحقيقية أحد.

كيف تحمي نفسك ومؤسستك؟

على صعيد المؤسسات، توصي كاسبرسكي بتقليص الأذونات الممنوحة في AWS إلى الحد الأدنى الضروري، واستبدال مفاتيح IAM الثابتة بأدوار ديناميكية، وتفعيل المصادقة متعددة العوامل، وتقييد الوصول على عناوين IP محددة، مع مراجعة بيانات الاعتماد ومفاتيح الوصول بصفة دورية منتظمة.

أما على المستوى الفردي، فالقاعدة الذهبية التي يؤكد عليها الخبراء هي عدم الثقة بأي رسالة بريدية استنادًا إلى اسم المرسل أو نطاقه فحسب، فإن وصلتك رسالة غير متوقعة تطلب منك إجراءً ما، تحقق من صحتها عبر قناة اتصال أخرى مستقلة، وافحص الروابط بدقة قبل النقر عليها حتى لو بدت صادرة عن خدمة تثق بها تمامًا.

في عالم يزداد فيه تطور التهديدات الرقمية يومًا بعد يوم، لم يعد الحذر خيارًا بل أصبح ضرورة لا غنى عنها.