Atacatorii cibernetici abuzează API-urile DocuSign pentru a crea și distribui în masă facturi false care par autentice, impersonând branduri cunoscute precum Norton și PayPal.
Utilizând un serviciu legitim, atacatorii ocolesc protecțiile de securitate ale e-mailului, deoarece mesajele provin de la un domeniu DocuSign real, docusign.net.
Scopul este ca țintele lor să semneze electronic documentele, pe care apoi le pot folosi pentru a autoriza plăți independent de departamentele de facturare ale companiei.
DocuSign este o platformă de semnătură electronică care permite semnarea, trimiterea și gestionarea documentelor digital.
API-ul Envelopes este un component de bază al API-ului REST pentru semnătură electronică al DocuSign, permițând dezvoltatorilor să creeze, trimită și gestioneze containere de documente (plicuri) care definesc procesul de semnare.
Acest API este destinat să ajute clienții să automatizeze trimiterea documentelor care necesită semnătură, să urmărească starea acestora și să le recupereze după semnare.
Potrivit cercetătorilor de securitate de la Wallarm, atacatorii care utilizează conturi DocuSign plătite abuzează acest API pentru a trimite facturi false care imită aspectul și simțul firmelor de software de renume.
Acești utilizatori au acces complet la șabloanele platformei, permițându-le să proiecteze documente care seamănă cu imaginea și structura entității impersonate.
În continuare, ei folosesc funcția API ‘Envelopes: create’ pentru a genera și trimite un volum mare de facturi frauduloase către mulți potențiali victime.
Wallarm menționează că sumele prezentate în aceste facturi sunt menținute într-un interval realist pentru a crește sentimentul de legitimă a solicitării de semnare.
‘Dacă utilizatorii semnează acest document, atacatorul poate folosi documentul semnat pentru a solicita plata de la organizație în afara DocuSign sau pentru a trimite documentul semnat prin DocuSign către departamentul financiar pentru plată,’ explică Wallarm.
‘Alte încercări au inclus diverse facturi cu diferite elemente, urmând de obicei același model de a obține semnături pentru facturi care apoi autorizează plata în conturile bancare ale atacatorilor.’
Wallarm remarcă că acest tip de abuz, pe care l-a raportat către DocuSign, se desfășoară de ceva vreme acum, iar clienții au raportat campaniile de mai multe ori pe forumurile comunității platformei.
‘Deodată primesc 3-5 e-mailuri de pescuit fraudulent pe săptămână de la domeniul docusign.net și niciuna dintre adresele standard de raportare precum abuse@ sau admin@ nu funcționează,’ a postat un client pe forumurile DocuSign.
‘Îmi resping e-mailul și nu pot găsi nicio informație de raportare pe pagina lor FAQ. Cred că sunt lăsat cu alegerea de a bloca domeniul?’
Atacurile par a fi automate în loc de încercări manuale cu volum mic, astfel că abuzul are loc pe o scară largă care ar trebui să fie dificil de ratat de către platformă.
BleepingComputer a contactat DocuSign pentru a întreba despre măsurile lor anti-abuz și dacă au planuri de a le îmbunătăți împotriva activității raportate, dar un comentariu nu a fost imediat disponibil.
În mod nefericit, endpoint-urile API sunt greu de securizat atunci când atacatorii creează conturi comerciale permițând accesul la aceste funcții.
Câteva exemple recente de cum hackerii au abuzat de API-uri în trecut includ verificarea numerelor de telefon ale milioane de utilizatori Authy, extragerea informațiilor a 49 de milioane de clienți Dell și asocierea adreselor de e-mail cu 15 milioane de conturi Trello.
Windows infectate cu mașini virtuale Linux cu backdoor în noi atacuri de pescuit
LastPass avertizează despre centre de suport false care încearcă să fure datele clienților
Peste o mie de magazine online au fost sparte pentru a afișa listări false de produse
Amazon confiscă domenii folosite în campania de Remote Desktop neloial pentru a fura date
Microsoft creează chiriași Azure false pentru a atrage pescarii în capcane
Leave a Reply