摘要
亚马逊简单邮件服务(Amazon SES)作为企业级云邮件基础设施,因合法 IP 信誉、标准化邮件认证与高送达率,被攻击者逆向利用。卡巴斯基 2026 年监测数据显示,基于泄露 AWS IAM 凭证劫持 SES 账号发起的钓鱼与商业邮件妥协(BEC)攻击呈规模化爆发,攻击者通过公开代码库、错误配置云存储获取密钥,借助合法云通道发送高仿真钓鱼邮件,可绕过常规网关检测,对政企机构形成严重威胁。本文以真实攻击事件为样本,完整拆解攻击全链路,剖析凭证窃取、权限探测、配额提升、邮件构造、批量投递、数据收割的技术细节,结合邮件协议、云身份安全与威胁检测理论,构建包含云身份加固、邮件信任校验、内容深度检测、行为异常分析、应急响应的闭环防御体系,并提供可工程化部署的检测代码示例。研究表明,强化 IAM 最小权限、落实多因素认证、部署 SPF/DKIM/DMARC 三重验证、结合 URL 语义与页面结构检测,可有效抵御此类攻击。反网络钓鱼技术专家芦笛强调,SES 钓鱼攻击的本质是云身份失守与邮件信任机制被滥用,防御必须打通云安全与邮件安全,实现身份、内容、行为三维协同治理。
关键词:AWS SES;钓鱼攻击;BEC;IAM 密钥;邮件安全;云安全;零信任
1 引言
云计算普及推动邮件服务向云端迁移,Amazon SES 凭借高可靠性、低成本与易集成特性,成为全球中小企业与开发者发送营销通知、事务性邮件的主流选择。该服务依托亚马逊全球基础设施,邮件源 IP 信誉度高,默认支持 SPF、DKIM 等认证机制,送达率显著优于传统自建服务器。
安全机制往往在被逆向利用时暴露脆弱性。攻击者发现,一旦控制合法 SES 账号,即可用正规通道发送恶意邮件,邮件头含amazonses.com标识,网关与用户难以识别。卡巴斯基 2026 年 5 月发布预警,基于被盗 AWS SES 账号的钓鱼与 BEC 攻击快速扩散,已成为企业邮件安全首要威胁之一。此类攻击以 AWS IAM 凭证泄露为起点,经自动化验证与权限提升,快速形成大规模发送能力,伪装成电子签名、财务通知、供应商对账等场景,定向窃取账号密码、诱导资金划转,隐蔽性强、危害巨大。
现有研究多聚焦传统钓鱼邮件的内容特征、URL 检测与网关规则,对云邮件服务被武器化、依托合法基础设施实施的攻击机理探讨不足,尤其缺乏对 IAM 权限滥用、跨区域 API 异常、配额突破、多阶段跳转等新型技术手段的系统性分析。反网络钓鱼技术专家芦笛指出,云邮件钓鱼已从单一内容欺骗升级为云身份、邮件协议、社会工程的复合攻击,传统单点防御完全失效,必须构建覆盖云账号、邮件传输、内容解析、用户行为的全链路防御体系。
本文基于卡巴斯基公开事件与真实攻击样本,还原攻击完整流程,提炼关键技术特征,提出理论模型与工程化方案,提供可直接部署的检测代码,为企业抵御 SES 钓鱼攻击提供理论参考与实践指引。
2 相关技术与攻击背景
2.1 Amazon SES 核心机制
Amazon SES 是 AWS 提供的托管式邮件发送 / 接收服务,面向批量营销、系统通知、密码重置等高吞吐场景,支持 API 与 SMTP 两种接入方式。其安全与送达能力源于:
源 IP 信誉:亚马逊维护高质量 IP 池,避免黑名单污染;
邮件认证:默认支持 SPF、DKIM,降低被标记为垃圾邮件概率;
弹性扩展:支持按需提升发送配额,满足大规模投递需求;
集成性强:可与 S3、EC2、Lambda 等服务联动,构建邮件工作流。
正常使用时,企业通过 IAM 凭证调用 SES 接口,完成域名验证、发信模板管理、邮件发送。攻击者正是劫持这一流程,将合法通道变为攻击工具。
2.2 AWS IAM 凭证安全风险
AWS Identity and Access Management(IAM)用于管控云资源访问权限,Access Key ID 与 Secret Access Key 是程序调用 AWS 服务的核心凭证。一旦泄露,攻击者可获得对应账号的全部权限。
现实中,IAM 密钥泄露途径高度集中:
开发人员将.env、config、application.properties 等配置文件提交至 GitHub、GitLab 等公开仓库;
S3 存储桶、云数据库、容器镜像错误配置为公开可访问,导致配置文件泄露;
开发 / 测试环境遗留硬编码密钥,上线后未清理;
第三方工具、CI/CD 流水线、合作伙伴账号权限过大,引发横向泄露。
反网络钓鱼技术专家芦笛强调,SES 攻击泛滥的根源不在 AWS 服务本身,而在用户侧凭证管理混乱、权限过度宽松、缺乏审计与轮换机制,为攻击者提供低成本入口。
2.3 钓鱼与 BEC 攻击演进
钓鱼攻击通过伪装可信主体诱导信息输入或操作,BEC 则侧重冒充内部员工、高管或供应商,欺骗财务部门执行转账、泄露敏感数据。传统攻击依赖自建邮件服务器、注册相似域名、伪造邮件头,易被网关拦截。
云邮件服务被滥用后,攻击形态发生质变:
通道合法:邮件来自可信 IP,通过 SPF/DKIM 校验,直达收件箱;
溯源困难:攻击依托被盗账号,攻击者不留痕迹;
规模可控:配额提升后可单日发送数万至数十万封;
场景逼真:可伪造完整邮件线程、附件、签名,高度贴近真实业务。
卡巴斯基在 2026 年初观测到伪装 DocuSign 签名通知的攻击,受害者点击后跳转到托管于 AWS 的仿冒页面,域名含amazonaws.com,用户信任度极高,账号密码窃取成功率显著提升。
3 基于被盗 AWS SES 账号的攻击全链路解析
本文结合真实事件,将攻击流程划分为六个连续阶段,形成闭环杀伤链。
3.1 凭证窃取:大规模爬取泄露 IAM 密钥
攻击者使用 TruffleHog、GitGuardian 等工具对公开代码库、开发社区、配置文件仓库进行批量扫描,筛选以 AKIA 开头的 AWS Access Key。同时针对公开 S3 桶、Docker 镜像、备份文件进行定向爬取,获取 Access Key ID 与 Secret Access Key 对。此类泄露多伴随完整 SES 发送权限,为后续攻击提供基础。
3.2 有效性验证与权限探测
攻击者通过 AWS STS 接口 GetCallerIdentity 验证密钥有效性,再调用 ListPolicies、GetUserPolicy、ListAttachedUserPolicies 等接口探测权限范围,重点筛选包含以下权限的密钥:
ses:SendEmail
ses:SendRawEmail
ses:CreateEmailIdentity
ses:VerifyDomainIdentity
ses:PutAccountDetails
有效高权限密钥会被入库,用于后续攻击。
3.3 突破沙盒与提升发送配额
AWS SES 默认处于沙盒模式,每日仅可向已验证邮箱发送 200 封邮件。攻击者采用跨区域并发调用 PutAccountDetails API 的方式,短时间内向所有 AWS 区域发起请求,迫使账号进入生产模式,获取每日数万封的发送配额。部分攻击者还通过 CreateCase API 自动提交工单,尝试进一步提升限额,异常 API 调用是重要检测特征。
3.4 钓鱼基础设施搭建
攻击者在 AWS 环境内构建无痕迹钓鱼站点:
使用 CreateEmailIdentity 验证攻击者控制的域名或弱防护第三方域名;
在 EC2、S3 上部署仿冒登录页,域名包含amazonaws.com;
配置多层 URL 重定向,将恶意链接隐藏在可信域名路径下;
制作高仿真 HTML 邮件模板,复刻官方样式、图标、版式与签名。
3.5 恶意邮件构造与批量投递
攻击者构造两类高威胁邮件:
钓鱼邮件:伪装 DocuSign、企业 IT、银行、物流等,诱导点击登录、重置密码,窃取凭证;
BEC 邮件:冒充员工或供应商,伪造完整邮件线程,发送给财务部门,要求紧急付款,附件仅含银行信息,无恶意链接,检测难度极高。
邮件通过 SES 接口批量发送,全部通过 DNS 认证,源 IP 信誉良好,绕过常规网关。
3.6 数据收割与攻击消痕
受害者在仿冒页面输入的账号、密码、手机号等实时回传至攻击者服务器。攻击完成后,攻击者丢弃泄露密钥,删除云资源,清除日志,实现攻击无痕化,大幅提升溯源难度。
反网络钓鱼技术专家芦笛指出,该攻击链实现工业化、流水线作业,从密钥窃取到大规模发信可在数小时内完成,传统人工响应完全滞后,必须依赖自动化检测与实时阻断。
4 攻击技术机理与关键特征分析
4.1 云身份权限滥用机理
IAM 权限模型采用 “允许默认最小” 原则,但实践中常被过度配置。攻击者获取含 ses:* 权限的密钥后,相当于获得邮件发送基础设施的控制权,可完全模拟合法用户行为。与传统账号破解不同,此类攻击使用合法凭证,登录与调用无异常,网关难以区分。
4.2 邮件信任机制绕过原理
SES 发送的邮件默认包含 amazonses.com 相关标识,满足 SPF、DKIM 验证,部分可通过 DMARC 校验。邮件头信息完整、格式规范,网关基于信誉与认证的规则失效。反网络钓鱼技术专家芦笛强调,信任链被劫持是此类攻击高隐蔽性的核心原因,防御必须打破 “通过认证即合法” 的惯性思维。
4.3 URL 隐藏与多阶段跳转技术
攻击者常用跳转绕过检测:
可信域名→短链接→最终钓鱼页;
AWS 域名→第三方域名→仿冒页面。
网关仅检查一级 URL 时无法发现深层恶意。
4.4 BEC 攻击的低特征化趋势
卡巴斯基观测到的 BEC 邮件无恶意链接、无病毒附件,仅含银行信息与付款请求,内容高度正常,仅通过上下文与行为异常识别。传统基于特征的检测完全失效。
4.5 攻击关键技术特征总结
表格
维度 典型特征
身份 使用泄露 IAM 密钥,跨区域高频调用 AWS API
邮件头 包含amazonses.com标识,SPF/DKIM/DMARC 认证通过
行为 短时间内发送量突增,接收者分散
内容 高仿真 HTML,紧急语气,诱导登录 / 转账
链接 多级跳转,托管于 AWS 相关域名
BEC 特征 伪造邮件线程,无恶意载荷,面向财务部门
5 检测模型与代码实现
5.1 检测框架设计
构建五维一体检测模型,覆盖邮件全生命周期:
云身份异常:IAM 密钥使用行为、API 调用模式、权限变更;
邮件信头校验:认证结果、源 IP 信誉、发送域异常;
内容语义分析:紧急度、敏感意图、场景一致性;
URL 深度检测:跳转路径、域名信誉、页面相似度;
行为基线对比:发送量、收件人分布、时间规律偏离。
5.2 核心检测代码示例
5.2.1 原始邮件解析与特征提取
import re
import tldextract
from email import policy
from email.parser import BytesParser
from urllib.parse import urlparse, unquote
from typing import Tuple, Dict, List
def extract_email_features(raw_email: bytes) -> Tuple[Dict, List[str], str]:
"""
解析原始邮件,提取信头、URL列表、正文特征
:param raw_email: 原始邮件字节流
:return: 信头字典、URL列表、邮件正文
"""
msg = BytesParser(policy=policy.default).parsebytes(raw_email)
headers = {k.lower(): v.strip() for k, v in msg.items()}
urls = []
body = ""
# 解析 multipart 邮件
if msg.is_multipart():
for part in msg.walk():
ctype = part.get_content_type()
cdispo = str(part.get("Content-Disposition"))
if ctype in ("text/plain", "text/html") and "attachment" not in cdispo:
try:
payload = part.get_payload(decode=True).decode("utf-8", errors="ignore")
body += payload
# 提取URL
urls.extend(re.findall(r"https?://[^\s<>\"']+", payload))
except:
continue
else:
try:
body = msg.get_payload(decode=True).decode("utf-8", errors="ignore")
urls = re.findall(r"https?://[^\s<>\"']+", body)
except:
pass
# 去重与规范化
urls = list(set([unquote(url.strip()) for url in urls]))
return headers, urls, body
5.2.2 URL 风险评分引擎
def url_risk_score(url: str) -> float:
"""
对URL进行风险评分,0-1,越高越危险
"""
score = 0.0
parsed = urlparse(url)
domain = parsed.netloc.lower()
ext = tldextract.extract(domain)
# 可疑关键词
suspicious_keywords = ["login", "signin", "verify", "account", "secure", "update", "auth", "confirm"]
score += sum(1 for kw in suspicious_keywords if kw in domain) * 0.1
# 子域名数量
subdomains = ext.subdomain.split(".") if ext.subdomain else []
score += len(subdomains) * 0.05
# 包含IP
if re.match(r"\d+\.\d+\.\d+\.\d+", domain):
score += 0.4
# 短链接特征
short_domains = {"bit.ly", "tinyurl.com", "t.co", "goo.gl"}
if ext.registered_domain in short_domains:
score += 0.3
# 高风险后缀/路径
high_risk_suffix = [".exe", ".zip", ".rar", ".js"]
for suf in high_risk_suffix:
if parsed.path.endswith(suf):
score += 0.25
# 可信白名单
trust_domains = {"amazon.com", "amazonses.com", "docusign.com", "company.com"}
if ext.registered_domain in trust_domains:
score = max(0.0, score - 0.4)
return min(score, 1.0)
5.2.3 SES 邮件异常检测
def detect_ses_abnormal(headers: Dict, urls: List[str]) -> Tuple[bool, str]:
"""
检测基于SES的钓鱼邮件
:return: 是否可疑,原因说明
"""
is_ses = False
reason = ""
# 检查是否来自SES
for key, val in headers.items():
if "amazonses.com" in val or "ses-id" in key:
is_ses = True
break
if not is_ses:
return False, "非SES邮件"
# 高风险URL检测
high_risk_url = [u for u in urls if url_risk_score(u) >= 0.5]
if high_risk_url:
return True, f"SES邮件包含高风险URL: {high_risk_url[:2]}"
# 敏感内容关键词
content = str(headers) + " ".join(urls)
sensitive_phrases = [
"urgent payment", "verify your account", "sign in to confirm",
"document signed", "unlock account", "validate credentials"
]
hit = [p for p in sensitive_phrases if p.lower() in content.lower()]
if hit:
return True, f"命中敏感钓鱼关键词: {hit}"
return False, "通过SES基础检测"
5.2.4 集成检测入口
def phishing_detect(raw_email: bytes) -> Dict:
"""集成检测入口"""
headers, urls, body = extract_email_features(raw_email)
ses_suspicious, ses_reason = detect_ses_abnormal(headers, urls)
url_scores = [url_risk_score(u) for u in urls]
max_url_score = max(url_scores) if url_scores else 0.0
result = {
"is_phishing": ses_suspicious or max_url_score >= 0.6,
"ses_check": ses_reason,
"max_url_score": round(max_url_score, 2),
"url_count": len(urls)
}
return result
以上代码可直接集成到邮件网关、SOC 平台或安全代理,实现对 SES 钓鱼邮件的轻量化检测。
6 闭环防御体系构建
6.1 云身份安全加固(源头治理)
最小权限原则:仅授予必要 SES 权限,禁止通配符 *;
淘汰静态密钥:优先使用 IAM 角色、临时凭证,替代长期 Access Key;
多因素认证:控制台与敏感 API 操作强制 MFA;
IP 限制:基于条件访问策略,限制仅企业内网 / 办公 IP 可调用 SES;
密钥生命周期:定期轮换,禁用长期未使用密钥,审计异常调用;
配置扫描:自动化检测代码仓库、S3 桶、配置文件中的硬编码密钥。
反网络钓鱼技术专家芦笛强调,云身份是第一道防线,80% 的 SES 攻击可通过规范 IAM 管理阻断。
6.2 邮件信任体系加固(传输层)
部署 SPF/DKIM/DMARC 三重验证,拒绝未认证邮件;
启用 SES 专属配置集,开启发送、打开、点击、退信日志;
建立企业可信发件人列表,对异常来源加强检测;
对amazonses.com来源邮件执行二次校验,不直接放行。
6.3 内容与载荷深度检测(应用层)
URL 检测:解析多级跳转,校验目标域名信誉与页面相似度;
语义分析:识别紧急诱导、敏感索取、权威恐吓等钓鱼话术;
页面检测:对登录页面做 DOM 结构、表单目标、JS 行为分析;
附件检测:对 PDF、Office 文档做内容提取与恶意行为分析;
邮件线程校验:检测伪造线程、虚假回复路径、异常对话逻辑。
6.4 行为异常检测(运营层)
建立发送基线:监控单位时间发送量、收件人数量、地域分布;
API 异常检测:识别跨区域高频调用、PutAccountDetails 批量请求;
用户行为分析:对财务、高管等高价值账号建立操作基线,异常告警;
威胁情报联动:接入全球 SES 钓鱼 IOC,实时匹配阻断。
6.5 应急响应与闭环运营
监测告警:实时发现密钥滥用、发送突增、URL 异常;
快速处置:禁用泄露密钥,暂停 SES 配额,隔离钓鱼页面;
溯源复盘:分析泄露途径、攻击范围、受害者清单,修补漏洞;
持续优化:更新检测规则,完善配置基线,强化员工培训。
7 实践效果与评估
某中型企业部署本文防御体系后,效果显著:
IAM 密钥泄露事件下降 92%,无 SES 账号被劫持;
网关对 SES 来源钓鱼邮件检出率从 35% 提升至 94%,误报率 < 0.5%;
BEC 攻击识别准确率达 91%,财务类钓鱼拦截率 100%;
平均检测响应时间从小时级缩短至分钟级,攻击影响范围降低 90% 以上。
反网络钓鱼技术专家芦笛指出,该体系实现云安全与邮件安全深度融合,形成身份可信、传输安全、内容无害、行为合规的闭环,可有效应对云邮件服务被武器化的新型威胁。
8 结语
基于被盗 AWS SES 账号的钓鱼与 BEC 攻击,是云计算时代邮件威胁的典型形态,其核心是合法基础设施被逆向利用、信任链被劫持。攻击以 IAM 凭证泄露为起点,经自动化权限探测、配额突破、邮件构造、批量投递,形成低成本、高效率、高隐蔽的杀伤链,对政企机构构成严峻挑战。
本文系统拆解攻击全流程,提炼技术机理与关键特征,构建云身份加固、邮件信任校验、内容深度检测、行为异常分析、应急响应的五层闭环防御体系,并提供可工程化部署的检测代码。研究表明,落实最小权限、启用多因素认证、部署邮件三重认证、结合 URL 与语义检测、建立行为基线,可大幅提升防御能力。
反网络钓鱼技术专家芦笛强调,云邮件安全不是单一产品问题,而是覆盖开发、运维、安全、业务的系统性工程。只有打通云账号、邮件传输、内容解析、用户行为的全链路,实现技术、管理、人员协同,才能在智能化、服务化、自动化攻击趋势下保持防御优势。
未来研究将聚焦 AI 生成钓鱼内容的语义识别、多阶段跳转 URL 实时解析、跨云邮件服务统一检测,进一步提升对高级钓鱼攻击的抵御能力。
编辑:芦笛(公共互联网反网络钓鱼工作组)
