Заплахите злоупотребяват с приложния програмен интерфейс на DocuSign, за да създават и масово да разпространяват фалшиви фактури, които изглеждат истински, представяйки се за добре познати марки като Norton и PayPal.
Използвайки легитимна услуга, нападателите заобикалят защитите за сигурност на електронната поща, тъй като те идват от действителен домейн на DocuSign – docusign.net.
Целта е да накарат мишените си да подпишат документите с електронен подпис, който след това да използват за оторизиране на плащания независимо от отделите за фактуриране на компанията.
DocuSign е платформа за електронен подпис, която позволява цифрово подписване, изпращане и управление на документи.
Envelopes API е основен компонент на REST API за електронно подписване на DocuSign, който позволява на разработчиците да създават, изпращат и управляват контейнери за документи (пликове), които определят процеса на подписване.
API има за цел да помогне на клиентите да автоматизират изпращането на документи, които се нуждаят от подписване, да проследяват техния статус и да ги извличат, когато са подписани.
Според изследователи по сигурността от Wallarm, заплахи, използващи легитимни платени акаунти в DocuSign, злоупотребяват с този API, за да изпращат фалшиви фактури, които имитират външния вид на реномирани софтуерни фирми.
Тези потребители се ползват с пълен достъп до шаблоните на платформата, което им позволява да създават документи, наподобяващи марката и оформлението на подставеното лице.
След това те използват функцията на API „Envelopes: create“, за да генерират и изпращат голям брой фалшиви фактури на много потенциални жертви.
Wallarm казва, че таксите, представени в тези фактури, се поддържат в реалистичен диапазон, за да се увеличи усещането за легитимност на искането за подписване.
„Ако потребителите подпишат този документ с електронен подпис, нападателят може да използва подписания документ, за да поиска плащане от организацията извън DocuSign или да изпрати подписания документ чрез DocuSign до финансовия отдел за плащане“, обяснява Wallarm.
„Други опити са включвали различни фактури с различни елементи, обикновено следвайки същия модел на получаване на подписи за фактури, които след това разрешават плащане в банковите сметки на нападателите.“
Wallarm отбелязва, че този вид злоупотреби, за които е докладвала на DocuSign, се случват от известно време насам, а клиентите многократно са съобщавали за кампаниите във форумите на общността на платформата.
„Изведнъж получавам 3-5 фишинг имейла седмично от домейна docusign.net и нито един от стандартните имейл адреси за докладване като abuse@ или admin@ не работи“, пише клиент във форумите на DocuSign.
„Те отхвърлят имейла ми и не мога да намеря никаква информация за докладване на страницата им с често задавани въпроси. Предполагам, че ми остава изборът да блокирам домейна?“
Атаките изглеждат по-скоро автоматизирани, отколкото малобройни ръчни опити, така че злоупотребите се извършват в голям мащаб, който би трябвало да е трудно да бъде пропуснат от платформата.
За съжаление крайните точки на API са трудни за защита, когато участниците в заплахата създават търговски акаунти, позволяващи достъп до тези функции.
Някои скорошни примери за това как хакери са злоупотребявали с API в миналото включват проверка на телефонните номера на милиони потребители на Authy, извличане на информация за 49 милиона клиенти на Dell и свързване на имейл адреси с 15 милиона акаунта в Trello.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.