Cibercriminosos Usam Falsos Templates de DocuSign para Phishing

Cibercriminosos Usam Falsos Templates de DocuSign para Phishing

O Mercado Underground de Phishing Explora a Popularidade do DocuSign

Nos últimos tempos, tem sido observado um aumento significativo nos e-mails de phishing que imitam o DocuSign, graças a um mercado florescente de templates falsos e credenciais de login. Pesquisadores da Abnormal Security relataram ter rastreado um crescimento notável desses ataques de phishing, projetados para se assemelhar a solicitações legítimas do DocuSign.

Durante investigações, os pesquisadores acessaram um fórum de cibercrime russo, onde vendedores comercializam uma variedade de templates que imitam e-mails e documentos autênticos. O DocuSign, sendo o software líder de assinatura de documentos, se tornou um alvo popular para “phishermen” devido ao seu uso frequente para armazenar e transferir documentos valiosos contendo dados sensíveis.

Como Funciona o Golpe

Para criar e-mails que realmente pareçam autênticos e induzam as vítimas a agir automaticamente, um atacante pode se dar ao trabalho de elaborar templates de e-mail e documentos do DocuSign que pareçam legítimos. Hackers menos experientes ou aqueles que preferem métodos mais eficientes podem optar por comprar templates maliciosos prontos em mercados online. Mike Britton, CISO da Abnormal Security, observa que um template novo para DocuSign, Amazon, PayPal, entre outros, pode custar tão pouco quanto US $10.

Com esses recursos baratos à mão, os atacantes podem elaborar e-mails de phishing que enganam os funcionários das organizações alvo de várias maneiras. Eles podem enviar documentos falsos solicitando que os usuários insiram suas informações pessoais identificáveis (PII), ou redirecioná-los para páginas falsas de login para coletar suas credenciais reais do DocuSign. Depois, eles podem usar ou vender esses dados coletados para outros criminosos na cadeia de ataques.

Consequências Para as Empresas

Com acesso a credenciais baratas, hackers podem explorar o histórico do DocuSign dos funcionários para descobrir todos os documentos sensíveis com os quais eles interagiram nos últimos meses. Eles podem usar informações de contratos de emprego, acordos com fornecedores e informações de pagamento como material para chantagem em ataques de extorsão, ou vender esses dados para atacantes ainda mais abaixo na cadeia. Além disso, podem usar essas informações para identificar novos alvos de maior valor e se passar por indivíduos específicos de uma empresa ou de uma empresa parceira.

Por exemplo, um atacante pode programar um pedido de remessa para coincidir com o período em que uma empresa normalmente paga a um fornecedor todos os meses. Usando informações do histórico do DocuSign de um funcionário comprometido, eles podem se passar por um superior direto ou uma pessoa do departamento financeiro do fornecedor e anexar documentos reais específicos ao e-mail para referência.

Prevenção Contra Ataques

Para prevenir esses e outros cenários potenciais de pior caso, a Abnormal Security recomenda que os funcionários estejam sempre atentos a endereços suspeitos de e-mail e links, saudações impessoais por e-mail e códigos de segurança do DocuSign anormalmente curtos, e que abram documentos diretamente do site da empresa, em vez de por e-mail. Além disso, é aconselhado não abrir documentos que não estão esperando.

“Todo mundo está ocupado,” reconhece Britton. “Seja no escritório ou num ambiente de trabalho híbrido onde você tem a vida pessoal competindo por sua atenção, a aposta mais segura é simplesmente pegar o telefone e perguntar: ‘Ei, acabei de receber este e-mail seu. É legítimo?'”

Fonte: https://abnormalsecurity.com/blog/cybercriminals-exploit-docusign