Agentes de ameaças estão abusando da API Envelopes do DocuSign para criar e distribuir em massa falsas faturas que parecem genuínas, se passando por marcas bem conhecidas como Norton e PayPal.
Utilizando um serviço legítimo, os atacantes contornam as proteções de segurança de e-mail, uma vez que elas vêm de um domínio real do DocuSign, docusign.net.
O objetivo é fazer com que seus alvos assinem eletronicamente os documentos, que podem então ser usados para autorizar pagamentos independentemente dos departamentos de cobrança da empresa.
O DocuSign é uma plataforma de assinatura eletrônica que possibilita assinar digitalmente, enviar e gerenciar documentos.
A API Envelopes é um componente chave da eSignature REST API do DocuSign, permitindo que desenvolvedores criem, enviem e gerenciem contêineres de documentos (envelopes) que definem o processo de assinatura.
A API visa ajudar clientes a automatizar o envio de documentos que precisam de assinaturas, acompanhar seu status e recuperá-los quando assinados.
Segundo pesquisadores de segurança da Wallarm, agentes de ameaça utilizando contas pagas legitimamente do DocuSign estão abusando desta API para enviar faturas falsas que imitam a aparência de empresas de software renomadas.
Esses usuários desfrutam de acesso total aos modelos da plataforma, permitindo-lhes projetar documentos que se assemelham à marca e ao layout da entidade impersonada.
Em seguida, eles usam a função da API 'Envelopes: create' para gerar e enviar um grande volume de faturas fraudulentas para muitas possíveis vítimas.
A Wallarm diz que as taxas apresentadas nessas faturas são mantidas dentro de uma faixa realista para aumentar a sensação de legitimidade do pedido de assinatura.
"Se os usuários assinarem este documento eletronicamente, o atacante pode usar o documento assinado para solicitar pagamento da organização fora do DocuSign ou enviar o documento assinado através do DocuSign para o departamento financeiro para pagamento", explica a Wallarm.
Outras tentativas incluíram diferentes faturas com itens diversos, geralmente seguindo o mesmo padrão de obter assinaturas para faturas que, em seguida, autorizam o pagamento nas contas bancárias dos atacantes.
A Wallarm observa que esse tipo de abuso, que foi reportado ao DocuSign, vem ocorrendo há algum tempo, e os clientes reportaram as campanhas várias vezes nos fóruns da comunidade da plataforma.
"De repente, estou recebendo 3-5 e-mails de phishing por semana do domínio docusign.net e nenhum dos endereços de e-mail padrão para relatos como abuse@ ou admin@ funcionam", postou um cliente nos fóruns do DocuSign.
"Eles rejeitam meu e-mail, e não consigo encontrar nenhuma informação de relato na página de FAQs.
Acho que me resta a opção de bloquear o domínio?"
Os ataques parecem automatizados, em vez de tentativas manuais de baixo volume, então o abuso ocorre em larga escala e deveria ser difícil de não ser detectado pela plataforma.
Infelizmente, os endpoints da API são difíceis de proteger quando os agentes de ameaça criam contas comerciais permitindo acesso a esses recursos.
Alguns exemplos recentes de como hackers abusaram de APIs no passado incluem a verificação dos números de telefone de milhões de usuários Authy, raspando as informações de 49 milhões de clientes da Dell, e vinculando endereços de e-mail a 15 milhões de contas Trello.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...