- يقوم المهاجمون باختطاف بيانات اعتماد AWS المكشوفة لإرسال رسائل بريد إلكتروني تصيدية واسعة النطاق عبر Amazon SES
- تتجاوز الرسائل الضارة عمليات فحص نظام التعرف على هوية المرسل (SPF) وDKIM وDMARC وتنتقل مباشرة إلى صناديق البريد الوارد
- ويحذر العلماء من أن هذا الاتجاه آخذ في النمو، ويطالبون بممارسات أكثر صرامة لإدارة IAM وإدارة المفاتيح
يتم استخدام Amazon Simple Email Service (SES) لإطلاق “عدد هائل” من هجمات التصيد الاحتيالي التي تتجاوز بسهولة الإجراءات الأمنية الحالية وتعرض الضحايا لخطر بيانات الاعتماد وسرقة الهوية.
أطلق باحثو الأمن في كاسبرسكي ناقوس الخطر بطريقة جديدة تقرير والتي لاحظت: “على وجه الخصوص، شهدنا زيادة مؤخرًا في هجمات التصيد الاحتيالي باستخدام Amazon SES.”
يبدأ المهاجمون بسرقة البيانات المكشوفة بيانات اعتماد AWS. باستخدام TruffleHog (أو أدوات مشابهة)، يقومون بفحص مستودعات GitHub وملفات .ENV وصور Docker والنسخ الاحتياطية ومجموعات S3 المتاحة للعامة لبيانات اعتماد Amazon Web Services.
يستمر المقال أدناه
اجتياز جميع عمليات التفتيش
وبمجرد العثور عليه، يقومون بتحليل أذونات البريد الإلكتروني وإمكانيات التوزيع: “بعد التحقق من الأذونات الرئيسية وحدود إرسال البريد الإلكتروني، يستعد المهاجمون لنشر أعداد هائلة من رسائل البريد الإلكتروني التصيدية”، حسبما قالت كاسبرسكي.
تم تصميم الرسائل بعناية وتتضمن قوالب HTML مخصصة تحاكي الخدمات المشروعة وعمليات تسجيل الدخول الواقعية للغاية. تتراوح المواضيع من مستندات DocuSign المزيفة إلى حملات اختراق البريد الإلكتروني (BEC).
نظرًا لكونها خدمة مشروعة في حد ذاتها، تسمح Amazon SES لرسائل البريد الإلكتروني للمهاجمين بمسح عمليات التحقق من المصادقة مثل بروتوكولات SPF وDKIM وDMARC، وإرسال رسائل ضارة مباشرة إلى صناديق البريد الوارد للأشخاص. علاوة على ذلك، فإن الحظر عن طريق عنوان IP أيضًا لا يعمل لأنه سيؤدي إلى حظر جميع رسائل البريد الإلكتروني الواردة من Amazon SES.
وحذر كاسبرسكي من أن “التصيد الاحتيالي عبر Amazon SES لم يعد مجرد حوادث معزولة، بل أصبح اتجاهًا مستمرًا”. “من خلال استغلال هذه الخدمة، يتجنب المهاجمون الاضطرار إلى إنشاء نطاقات مشبوهة وبنية تحتية للبريد الإلكتروني من الصفر. وبدلاً من ذلك، يقومون باختطاف مفاتيح الوصول الحالية لاكتساب القدرة على إرسال الآلاف من رسائل البريد الإلكتروني التصيدية.”
لتقليل المخاطر، توصي Kaspersky المستخدمين بتنفيذ مبدأ الامتيازات الأقل عند تكوين الوصول إلى الأذونات. كما يوصون بالتبديل من مفاتيح وصول IAM إلى الأدوار عند تكوين AWS وتمكين المصادقة متعددة العوامل.
يجب عليك تكوين قيود الوصول المستندة إلى IP بالإضافة إلى التدوير التلقائي للمفاتيح. أخيرًا، يجب على المستخدمين استخدام AWS Key Management لتشفير البيانات وإدارة المفاتيح من موقع مركزي.
أفضل برامج مكافحة الفيروسات لكل ميزانية
اتبع TechRadar على أخبار جوجل و أضفنا كمصدرك المفضل لتلقي أخبار ومراجعات وآراء الخبراء حول قنواتك.
