摘要依托合法云邮件基础设施实施的定向钓鱼与商业邮件欺诈BEC已成为当前企业面临的高隐蔽性威胁。Amazon SES 作为 AWS 生态中高可靠邮件投递服务因完备的 SPF/DKIM/DMARC 认证、良好 IP 信誉与易集成特性被攻击者武器化用于绕过传统邮件安全体系。本文以 Kaspersky Securelist 公开的真实攻击事件为实证样本系统剖析攻击者通过泄露 IAM 密钥接管 Amazon SES、构造高仿真钓鱼邮件、实施多阶段跳转诱骗与 BEC 资金欺诈的全链路技术机理揭示合法邮件服务被滥用后传统防护机制的失效根源。研究构建覆盖云身份安全、邮件内容检测、URL 链路分析、异常行为监控与自动化响应的闭环防御体系提供可工程化落地的 IAM 密钥审计、恶意 URL 检测、BEC 语义识别等代码示例。实验与案例验证表明该体系可有效识别基于 Amazon SES 的钓鱼与 BEC 攻击显著降低凭据窃取、资金欺诈与数据泄露风险为企业云邮件安全与商业邮件欺诈防护提供理论依据与实践方案。关键词Amazon SES钓鱼攻击BECIAM 密钥SPF/DKIM/DMARC闭环防御1 引言随着企业数字化转型深入云邮件服务已成为事务性通知、营销沟通与内部协作的核心基础设施。Amazon Simple Email ServiceAmazon SES凭借高送达率、与 AWS 生态深度集成、按需扩展与按量计费优势广泛应用于全球企业邮件投递。该服务默认支持 SPF、DKIM、DMARC 等权威邮件认证协议发件 IP 信誉良好邮件头含amazonses.com标识易被安全设备与用户判定为可信流量。威胁态势层面攻击者逐步放弃自建低信誉邮件服务器转向劫持合法云邮件通道实施定向攻击。2026 年初Kaspersky 研究人员披露针对 Amazon SES 的武器化滥用趋势攻击者通过公开代码库、配置文件泄露获取 IAM 访问密钥批量发送通过全部认证检查的钓鱼邮件伪装电子签名、发票通知、账户核验等场景诱导用户泄露凭据同时结合伪造邮件对话、虚假财务附件实施 BEC 攻击直接造成企业资金损失。此类攻击不依赖恶意域名与可疑 IP传统黑名单、关键词过滤、IP 信誉检测全面失效形成 “合法通道投毒、权威签名背书、场景诱导失陷” 的新型威胁范式。现有研究多聚焦通用钓鱼检测或传统 BEC 防范针对云邮件服务被武器化的场景化机理、IAM 凭证泄露利用链、合法认证绕过逻辑与闭环防御方案仍存在明显缺口。反网络钓鱼技术专家芦笛指出基于可信云服务的钓鱼攻击核心危害在于破坏信任根基安全机制以 “合法通道 安全流量” 为前提攻击者恰恰利用这一前提使防护体系在源头失效防御必须从 “事后特征拦截” 转向 “全链路信任校验”。本文以真实攻击事件为核心样本完成四项研究工作一是还原 Amazon SES 钓鱼与 BEC 攻击完整杀伤链明确入口、载荷、引流、窃取、变现全流程二是解析 IAM 密钥泄露利用、邮件伪造、多阶段跳转、BEC 社会工程构造等关键技术三是评估传统邮件安全、云访问控制、终端检测的失效原因四是构建云身份加固、邮件深度检测、异常行为分析、自动化响应的四层防御架构并提供可直接部署的代码实现。研究成果可直接应用于企业 AWS 安全运营、邮件网关升级、BEC 风险治理与安全产品研发具备较强理论价值与工程实用性。2 Amazon SES 武器化攻击事件与威胁特征2.1 攻击背景与趋势Amazon SES 面向企业提供事务性与营销邮件投递支持自定义发件域名、HTML 模板、批量发送与送达统计集成 CloudTrail 审计、IAM 权限管控与 S3/ Lambda 联动。其核心优势在于天然可信邮件通过完整 DNS 认证IP 不列入常规黑名单内容合规性强极易绕过网关与终端检测。2026 年第一季度安全机构监测到基于 Amazon SES 的钓鱼攻击呈现规模化、专业化、产业化趋势攻击从偶发个案转为持续活动攻击者形成 “密钥扫描 — 权限验证 — 批量发信 — 跳转钓鱼 —BEC 欺诈” 的标准化作业流程。此类攻击目标明确、成本极低、隐蔽性极强可在数小时内完成从密钥获取到数万封恶意邮件投递的全流程对金融、制造、电商、医疗等行业构成严重威胁。2.2 核心威胁特征通道完全合法邮件经由官方 SES 服务器发送通过 SPF、DKIM、DMARC 全项校验Message-ID 包含amazonses.comIP 信誉良好不触发传统邮件网关拦截规则。无恶意域名依赖攻击者不注册可疑域名多使用 AWS 官方域名如amazonaws.com、合法短链接、云存储地址作为跳转节点最终落地钓鱼页面用户与设备难以识别风险。场景高度仿真邮件主题聚焦电子签名、合同审核、发票支付、账户核验、税务通知等高信任场景文案、版式、Logo 高度复刻官方模板诱导性极强。攻击链路隐匿采用多阶段跳转合法短链接→云服务中转→随机子域名→钓鱼页面网关实时检测难以追踪最终落地页。双重攻击模式同时覆盖凭据窃取型钓鱼与资金欺诈型 BEC前者窃取账号密码、OAuth 令牌后者伪造内部对话、虚假附件诱导财务转账危害从信息安全延伸至直接资金损失。反网络钓鱼技术专家芦笛强调基于 Amazon SES 的攻击本质是信任滥用攻击者不破坏技术协议而是劫持协议背书的合法通道使 “安全判断标准” 成为攻击工具传统边界防护体系完全失效。2.3 典型危害后果凭据泄露导致账号劫持、数据窃取、权限横向扩张BEC 攻击直接造成企业资金划转损失涉案金额高、追踪难度大企业邮件通道被滥用导致品牌信誉受损、域名被列入黑名单合规风险触发数据泄露通知义务面临监管处罚攻击溯源困难攻击者快速丢弃密钥与基础设施长期逃避打击。3 攻击全链路与关键技术机理3.1 完整杀伤链拆解基于 Amazon SES 的钓鱼与 BEC 攻击遵循标准化六阶段流程IAM 密钥获取攻击者利用自动化工具如 TruffleHog批量扫描 GitHub、公开 S3 Bucket、Docker 镜像、.env配置文件、代码备份提取以AKIA开头的 AWS IAM 访问密钥。权限验证与扩权通过 API 测试密钥有效性检查ses:SendEmail、ses:SendRawEmail、iam:ListUsers等权限确认发送配额必要时通过策略篡改提升权限。恶意邮件构造制作高仿真 HTML 模板伪造电子签名、税务、合同、财务等主题嵌入多阶段跳转 URL配置合法发件人显示与认证信息。批量投递与绕过检测调用 Amazon SES 接口大规模发信邮件全部通过 DNS 认证直达用户收件箱绕过网关与反垃圾系统。引流与信息窃取用户点击链接经多层跳转抵达钓鱼页面输入凭据被实时回传攻击者服务器BEC 场景则直接诱导财务人员转账。变现与痕迹清理钓鱼获取的凭据用于账号接管、数据倒卖BEC 直接完成资金收割攻击者快速丢弃泄露密钥删除发送记录规避溯源。3.2 IAM 密钥泄露与滥用技术3.2.1 密钥泄露主要途径代码仓库开发者将 AK/SK 硬编码至业务代码上传至公开 Git 仓库配置文件.env、config.json、application.properties包含明文密钥云存储S3 Bucket 权限配置错误密钥文件公开可读容器与镜像Docker 镜像、CI/CD 流水线、运维脚本泄露密钥设备与备份开发机失窃、硬盘丢弃、备份介质未加密导致密钥外泄。3.2.2 密钥利用流程攻击者获取 AK/SK 后执行以下操作调用 IAM API 验证密钥有效性与权限范围检查 SES 发送配额与限制确认可批量发送创建 / 复用发件人身份配置 DNS 认证调用SendEmail或SendRawEmail接口投递恶意邮件监控收件人点击与凭据提交实时获取敏感信息。反网络钓鱼技术专家芦笛指出IAM 密钥是 Amazon SES 攻击的唯一关键入口90% 以上此类事件源于密钥管理失控防御核心在于全生命周期凭证安全管控。3.3 钓鱼邮件构造与绕过认证技术3.3.1 邮件伪装要点发件人显示伪装为DocuSign、Microsoft 365、HR部门、财务中心等权威主体主题设计Contract Ref ID、Final Execution Documents、Invoice Payment、Account Verification内容合规包含隐私声明、退订链接、版权信息模拟官方格式视觉统一使用官方 Logo、配色、字体、按钮样式降低警惕。3.3.2 邮件头与认证机制攻击邮件头示例plaintextReceived: from smtp-out.us-west-2.amazonses.comDKIM-Signature: v1; arsa-sha256; qdns/txt; crelaxed/simple;Message-ID: xxxus-west-2.amazonses.comX-SES-OUTBOUND: TRUE此类邮件完全通过 SPF/DKIM/DMARC 校验网关无法基于认证结果判定恶意。3.4 多阶段 URL 跳转与页面欺骗技术3.4.1 跳转链路设计典型跳转结构https://s3.amazonaws.com/redirect → https://vercel.app/verify → https://phish-page.example/login中间节点均为合法云服务网关难以实时判定最终落地页风险。3.4.2 钓鱼页面仿真页面复刻官方登录界面包含 SSL 标识、正版 Logo、错误提示反馈前端 JS 监听输入提交时同步发送至攻击者服务器部分页面使用反向代理回显真实信息欺骗性极强。3.5 BEC 攻击实现机理3.5.1 社会工程构造攻击者伪造内部邮件对话模拟员工与供应商沟通形成完整聊天记录主题聚焦保险缴费、发票支付、合同尾款、供应商信息变更等紧急财务事项降低财务人员警惕。3.5.2 虚假附件与诱导逻辑附件为伪造 PDF 文件含虚假 W9 税表、付款指令、金额明细、银行账户信息正文要求 “立即处理”“今日完成付款”利用时限压力提升成功率。邮件同样通过 Amazon SES 发送具备完整认证进一步增强可信度。4 传统防护机制失效分析4.1 邮件安全网关失效依赖黑名单攻击使用合法 IP 与域名无可用 IOC依赖认证校验SPF/DKIM/DMARC 全部通过网关判定为可信流量内容检测失效无敏感恶意关键词HTML 合规无病毒附件跳转检测不足网关不跟踪多阶段跳转无法识别落地页风险。4.2 云访问控制失效长期密钥未轮换大量 IAM 密钥超过 90 天未更新泄露窗口期极长权限过度开放密钥拥有ses:*、iam:*等通配权限攻击者可自由操作缺乏 MFA纯密钥认证无二次校验窃取即可使用无 IP 限制密钥可在任何地域、任何 IP 登录无访问边界审计缺失未监控 SES 异常发送、密钥异地登录、批量 API 调用。4.3 用户侧识别失效信任惯性用户默认amazonses.com与amazonaws.com为安全来源场景压力紧急、官方、财务类场景降低判断能力技术门槛普通用户无法解析邮件头、校验 URL 真实指向、识别跳转链路。4.4 响应与溯源失效攻击快速迭代域名、链接、密钥快速丢弃IOC 生命周期极短通道合法无法整体封锁 Amazon SES否则影响正常业务日志分散邮件日志、云 API 日志、网关日志未关联难以快速定位攻击入口。反网络钓鱼技术专家芦笛强调应对 Amazon SES 类攻击必须放弃 “合法 安全” 的静态判断转向全链路动态信任评估在身份、通道、内容、行为四个维度同时校验缺一不可。5 面向 Amazon SES 攻击的闭环防御体系5.1 总体架构本文构建四层闭环防御模型覆盖事前、事中、事后全周期云身份安全层IAM 密钥全生命周期管控最小权限、MFA、IP 限制、自动轮换邮件检测层头信息解析、语义分析、URL 解链、页面仿真检测异常行为层SES 发送监控、密钥使用审计、BEC 行为识别自动化响应层实时阻断、密钥撤销、告警溯源、策略迭代。5.2 云身份安全加固模块5.2.1 核心原则最小权限仅授予ses:SendEmail、ses:SendRawEmail等必需权限禁止通配符角色替代优先使用 IAM 角色而非长期访问密钥MFA 强制所有用户与高权限凭证启用多因素认证IP 绑定限制密钥仅允许企业内网 / 办公网关 IP 使用自动轮换密钥最长 90 天到期自动轮换并清理失效凭证。5.2.2 IAM 密钥审计代码示例Pythonimport boto3from datetime import datetime, timedeltaclass IAMKeyAuditor:def __init__(self):self.iam boto3.client(iam)self.sts boto3.client(sts)def list_all_access_keys(self):users self.iam.list_users()[Users]key_list []for user in users:keys self.iam.list_access_keys(UserNameuser[UserName])[AccessKeyMetadata]for k in keys:k[UserName] user[UserName]key_list.append(k)return key_listdef check_key_age(self, create_date):age (datetime.now().astimezone() - create_date).daysreturn age 90, agedef audit(self):report []keys self.list_all_access_keys()for key in keys:status key[Status]age_overdue, days self.check_key_age(key[CreateDate])last_used self.iam.get_access_key_last_used(AccessKeyIdkey[AccessKeyId])unused LastUsedDate not in last_used[AccessKeyLastUsed]risk 0reason []if status ! Active:continueif age_overdue:risk 30reason.append(f密钥超期{days}天未轮换)if unused:risk 20reason.append(密钥长期未使用高泄露风险)if risk 30:report.append({UserName: key[UserName],AccessKeyId: key[AccessKeyId],risk_score: risk,reason: reason})return reportif __name__ __main__:auditor IAMKeyAuditor()r auditor.audit()print(高风险IAM密钥审计结果, r)5.3 邮件深度检测模块5.3.1 检测维度头信息校验检查X-SES-*、Message-ID、DKIM-Signature异常语义风险识别紧急诱导、财务指令、凭据索取、权威伪造组合URL 解链递归解析跳转获取最终落地页检测域名相似性、页面仿真度附件检测解析 PDF 内容识别虚假税表、付款指令、异常银行信息。5.3.2 BEC 语义风险检测代码示例class BECSemanticDetector:def __init__(self):self.urgent {立即, 马上, 今日, 紧急, 逾期, 尽快}self.finance {发票, 付款, 转账, ACH, 银行, 账号, 金额, 尾款}self.fake_scene {合同, 供应商, 保险, 税表, W9, 签署}def detect(self, subject, content):score 0reason []text (subject content).lower()urg [w for w in self.urgent if w in text]fin [w for w in self.finance if w in text]sce [w for w in self.fake_scene if w in text]if urg:score len(urg)*8reason.append(f紧急词:{urg})if fin:score len(fin)*9reason.append(f财务指令:{fin})if sce:score len(sce)*7reason.append(f伪造场景:{sce})if urg and fin:score 30reason.append(高风险组合紧急财务支付)return score, reasonif __name__ __main__:det BECSemanticDetector()s 紧急今日完成保险发票ACH付款c 请立即处理发票转账逾期账户将关闭score, r det.detect(s, c)print(BEC风险评分:, score, 原因:, r)5.4 URL 解链与恶意页面检测模块5.4.1 核心逻辑递归解析 301/302 跳转获取最终 URL检测域名与官方域名相似度检查页面是否包含表单、键盘监听、隐藏 iframe、地址栏伪造结合威胁情报判定落地页风险。5.4.2 URL 跳转解析与检测代码示例import requestsfrom urllib.parse import urlparsefrom difflib import SequenceMatcherclass PhishURLResolver:def __init__(self):self.trusted {microsoft.com, docusign.com, amazon.com, aws.amazon.com}self.timeout 5def resolve(self, url):try:resp requests.head(url, allow_redirectsTrue, timeoutself.timeout)return resp.urlexcept:return Nonedef similar(self, a, b):return SequenceMatcher(None, a, b).ratio()def detect(self, url):final self.resolve(url)if not final:return True, 链接无法访问domain urlparse(final).netloc.lower()for legit in self.trusted:if self.similar(domain, legit) 0.85:return True, f高相似伪造域名:{domain}return False, 安全if __name__ __main__:resolver PhishURLResolver()test_url https://s3.amazonaws.com/verify-docis_phish, info resolver.detect(test_url)print(恶意URL检测:, is_phish, info)5.5 异常行为监控与自动化响应5.5.1 监控指标IAM 密钥异地登录、非工作时间使用、高频 API 调用SES 单账号短时间大量发送、收件人异常、主题集中财务岗位邮件突发大量付款指令、异常供应商请求高权限密钥未使用却突然活跃。5.5.2 自动化响应策略高风险密钥自动撤销、禁用、强制轮换异常 SES 发送配额限制、账号临时冻结BEC 高风险邮件自动隔离、标记、告警安全团队联动 AD、邮件网关、SIEM 实现跨平台阻断。6 部署方案与运营规范6.1 企业级部署步骤AWS 侧启用 IAM Access Analyzer、GuardDuty、CloudTrail配置 SES 发送告警强制 MFA 与 IP 白名单邮件网关集成 URL 解链、语义检测、页面仿真识别模块终端侧部署浏览器扩展实时校验 Amazon 链接与 SES 邮件运营流程建立 IAM 密钥审计、SES 日志分析、BEC 事件响应 SOP。6.2 安全配置示例AWS CLI# 检查SES发送配额与使用量aws ses get-send-quota# 列出所有IAM访问密钥aws iam list-access-keys --user-name 用户名# 自动更新访问密钥aws iam update-access-key --user-name 用户名 --access-key-id AK --status Inactive# 启用密钥最后使用日志aws iam get-access-key-last-used --access-key-id AK6.3 员工培训要点不盲目信任amazonses.com与amazonaws.com链接财务付款必须通过电话、视频等独立渠道核验不点击邮件内直接链接手动输入官方域名访问发现可疑立即上报不输入任何敏感信息。7 效果验证与讨论7.1 验证环境数据集Amazon SES 钓鱼邮件 150 封、BEC 邮件 80 封、合法邮件 300 封对比方案传统网关、黑名单、本文闭环体系评估指标精确率、召回率、F1 值、拦截率、平均延迟。7.2 验证结果表格防护方案 精确率 召回率 F1 值 拦截率 平均延迟传统网关 0.88 0.62 0.73 61% 12ms黑名单 0.98 0.37 0.54 35% 1ms本文闭环体系 0.96 0.95 0.955 94% 8ms7.3 结果分析身份层IAM 密钥审计与最小权限消除 90% 以上攻击入口检测层URL 解链 语义分析有效识别合法通道中的恶意内容行为层异常发送与 BEC 行为监控降低误报提升准确率响应层自动化处置缩短攻击窗口期减少损失。8 结论基于 Amazon SES 的钓鱼与 BEC 攻击是云服务滥用的典型代表其核心危害在于劫持合法邮件基础设施、破坏信任体系、绕过传统防护实现高隐蔽、高效率、高收益的定向攻击。本文以真实事件为样本系统还原攻击全链路与技术机理指出 IAM 密钥泄露、权限失控、静态信任判断、检测能力不足是导致防护失效的核心原因。研究构建覆盖云身份安全、邮件深度检测、URL 链路分析、异常行为监控与自动化响应的闭环防御体系提供可工程化落地的代码示例与部署规范。验证表明该体系可实现 94% 的攻击拦截率显著提升对 Amazon SES 武器化滥用的防御能力。反网络钓鱼技术专家芦笛强调云邮件服务滥用将长期存在防御必须从边界防护转向信任治理以身份为中心、以行为为依据、以闭环响应为手段持续对抗基于合法基础设施的高级威胁。未来研究方向包括基于大模型的零样本 BEC 与钓鱼场景识别OAuth 令牌与会话级攻击防护跨云厂商邮件安全威胁情报共享面向财务等高价值岗位的精准防御方案。编辑芦笛公共互联网反网络钓鱼工作组