Заплахите злоупотребяват с приложния програмен интерфейс на DocuSign, за да създават и масово да разпространяват фалшиви фактури, които изглеждат истински, представяйки се за добре познати марки като Norton и PayPal.
Използвайки легитимна услуга, нападателите заобикалят защитите за сигурност на електронната поща, тъй като те идват от действителен домейн на DocuSign – docusign.net.
Целта е да накарат мишените си да подпишат документите с електронен подпис, който след това да използват за оторизиране на плащания независимо от отделите за фактуриране на компанията.
Изпращане на реалистични заявки за подпис
DocuSign е платформа за електронен подпис, която позволява цифрово подписване, изпращане и управление на документи.
Envelopes API е основен компонент на REST API за електронно подписване на DocuSign, който позволява на разработчиците да създават, изпращат и управляват контейнери за документи (пликове), които определят процеса на подписване.
API има за цел да помогне на клиентите да автоматизират изпращането на документи, които се нуждаят от подписване, да проследяват техния статус и да ги извличат, когато са подписани.
Според изследователи по сигурността от Wallarm, заплахи, използващи легитимни платени акаунти в DocuSign, злоупотребяват с този API, за да изпращат фалшиви фактури, които имитират външния вид на реномирани софтуерни фирми.
Тези потребители се ползват с пълен достъп до шаблоните на платформата, което им позволява да създават документи, наподобяващи марката и оформлението на подставеното лице.
След това те използват функцията на API „Envelopes: create“, за да генерират и изпращат голям брой фалшиви фактури на много потенциални жертви.
Wallarm казва, че таксите, представени в тези фактури, се поддържат в реалистичен диапазон, за да се увеличи усещането за легитимност на искането за подписване.
„Ако потребителите подпишат този документ с електронен подпис, нападателят може да използва подписания документ, за да поиска плащане от организацията извън DocuSign или да изпрати подписания документ чрез DocuSign до финансовия отдел за плащане“, обяснява Wallarm.
„Други опити са включвали различни фактури с различни елементи, обикновено следвайки същия модел на получаване на подписи за фактури, които след това разрешават плащане в банковите сметки на нападателите.“
Мащабна злоупотреба с DocuSign
Wallarm отбелязва, че този вид злоупотреби, за които е докладвала на DocuSign, се случват от известно време насам, а клиентите многократно са съобщавали за кампаниите във форумите на общността на платформата.
„Изведнъж получавам 3-5 фишинг имейла седмично от домейна docusign.net и нито един от стандартните имейл адреси за докладване като abuse@ или admin@ не работи“, пише клиент във форумите на DocuSign.
„Те отхвърлят имейла ми и не мога да намеря никаква информация за докладване на страницата им с често задавани въпроси. Предполагам, че ми остава изборът да блокирам домейна?“
Атаките изглеждат по-скоро автоматизирани, отколкото малобройни ръчни опити, така че злоупотребите се извършват в голям мащаб, който би трябвало да е трудно да бъде пропуснат от платформата.
За съжаление крайните точки на API са трудни за защита, когато участниците в заплахата създават търговски акаунти, позволяващи достъп до тези функции.
Някои скорошни примери за това как хакери са злоупотребявали с API в миналото включват проверка на телефонните номера на милиони потребители на Authy, извличане на информация за 49 милиона клиенти на Dell и свързване на имейл адреси с 15 милиона акаунта в Trello.
