06/11/24
Компания DocuSign оказалась в центре кибератак нового типа: злоумышленники используют её API для рассылки поддельных счетов на оплату, которые выглядят как настоящие. В отличие от стандартных фишинговых атак, где применяются поддельные ссылки и письма, данные инциденты используют реальные аккаунты DocuSign и шаблоны, что затрудняет распознавание угрозы пользователями и системами безопасности.
Преступники создают платные аккаунты на DocuSign, где настраивают шаблоны с имитацией счетов от известных брендов, таких как Norton Antivirus. Счета включают достоверные данные и часто содержат дополнительные сборы, например, «активационный сбор» в размере $50, что придаёт подделкам ещё больше правдоподобности, пишет Securitylab.
При подписании такого счёта пользователь фактически даёт разрешение на оплату, что злоумышленники могут использовать для перевода денег на свои счета. Такие счета трудно отследить — они приходят напрямую через платформу DocuSign, не имея вредоносных ссылок или вложений, поэтому фильтры электронной почты пропускают их.
За последние месяцы количество таких жалоб от пользователей на форумах DocuSign заметно возросло. Эти атаки показывают, что преступники активно используют легитимные каналы для маскировки своей деятельности, что серьёзно осложняет их обнаружение.
Эксперты по безопасности компании Wallarm выявили, что преступники автоматизируют процесс с помощью API DocuSign, отправляя поддельные счета массово и с минимальным вмешательством. Используя Envelopes API, они настраивают и отправляют тысячи счетов, полностью адаптированных под брендинг компаний, таких как Norton, создавая иллюзию законных транзакций.
Исследователи Wallarm подчёркивают, что данная угроза актуальна и для других сервисов электронной подписи. Чтобы защититься от подобных атак, компаниям рекомендуется проверять отправителя, устанавливать внутренние протоколы одобрения финансовых операций и проводить тренинги для сотрудников. Поставщикам сервисов важно ограничивать скорость API-запросов и применять технологии для отслеживания подозрительной активности.
