A DocuSign-t használva gyártottak hamis számlákat

Új módszert találtak a kiberbűnözők, akik manipulált DocuSign fájlokat tartalmazó üzenetekkel kerülik meg az olyan védelmi eszközöket, mint a spam- és adathalász-szűrők.

A hagyományos adathalászattal ellentétben – amely hamisított e-mail üzeneteket tartalmaz, és a hitelesítő adatok megszerzése vagy rosszindulatú programok telepítése a célja – ez a kampány a megbízható elektronikus aláírási szolgáltatásra támaszkodik a rosszindulatú tartalom eljuttatásához. A SecurityWeek cikke szerint a fenyegető szereplők legitim, fizetett DocuSign-fiókokat hoztak létre, amelyek lehetővé teszik számukra a sablonok módosítását és a szolgáltatás API-ihoz való közvetlen hozzáférést. Ezután olyan sablont hoznak létre, amely utánozza az ismert márkák, például szoftvercégek e-aláírási dokumentumokra vonatkozó kéréseit, és ezeket elküldik a gyanútlan áldozatoknak.

Az üzenetek érkezhetnek árinformációkat tartalmazó hamis számlák vagy közvetlen átutalási utasítások formájában. Jellemzően olyan mintát követnek, amelyben olyan aláírásokat kérnek, amelyek közvetlenül a támadók számlájára történő fizetést engedélyeznék. A számlák közvetlenül a DocuSign platformjáról érkeznek, és nem tartalmaznak rosszindulatú linkeket vagy mellékleteket, vagyis a spam/phishing szűrők legitimnek tekintik őket.

Számos felhasználó jelezte az ilyen rosszindulatú számlákat, a panaszok száma az elmúlt öt hónapban érezhetően nőtt. Amellett, hogy népszerű márkák kapcsán érkeznek, a fenyegető szereplők „törvényes kommunikációs csatornákba ágyazva hajtják végre támadásaikat”.

A cikk figyelmeztet: a szervezeteknek mindig ellenőrizniük kell a feladó e-mail címét, belső eljárásokat kell bevezetniük a vásárlások jóváhagyására, ki kell képezniük alkalmazottaikat a kétes számlák kiszűrésére, figyelemmel kell kísérniük a számlák e-mail fiókjait, és követniük kell a DocuSign útmutatását az adathalászat érvénytelenítésére vonatkozóan.