Segons ha informat l’empresa de ciberseguretat Wallarm, un grup de cibercriminals ha començat a explotar l’API de DocuSign en una sofisticada campanya de pesca per correu electrònic que envia factures falses a usuaris corporatius. Este mètode, publicat pel mitjà especialitzat en ciberseguretat Bleeping Computer, permet que les estafes passen desapercebudes per a les ferramentes de detecció tradicionals, ja que els correus electrònics fraudulents provenen directament de DocuSign i semblen sol·licituds de firma legítimes, sense enllaços o arxius adjunts maliciosos. El perill residix en l’autenticitat de la sol·licitud en si.
La campanya observada es basa en la creació de comptes legítims i de pagament en DocuSign, la qual cosa permet als atacants personalitzar plantilles de documents i enviar correus a múltiples destinataris directament des de la plataforma, utilitzant l’API d’”Envelopes: create API”. Els missatges imiten sol·licituds de firmes electròniques de marques conegudes, i les factures falses estan dissenyades amb detalls que inclouen preus i càrrecs específics, la qual cosa reforça la seua autenticitat.
Si un usuari firma electrònicament estos documents, els atacants poden enviar la factura a departaments de finances i sol·licitar pagaments fraudulents, enganyant les organitzacions perquè transferisquen fons a comptes controlats pels delinqüents. Wallarm alerta que este mètode podria ser replicat en altres plataformes de firma electrònica que també permeten l’accés mitjançant API, la qual cosa amplia el risc d’esta mena d’atacs.
Per a protegir-se, els experts recomanen que les organitzacions verifiquen acuradament l’adreça de correu del remitent i els comptes associats per a verificar la seua legitimitat, a més d’establir controls interns que involucren diversos membres en l’aprovació de transaccions financeres i aprovació de compres. També suggerixen que els treballadors TIC reben formació per a identificar les tàctiques de pesca per correu electrònic més avançades, fins i tot quan les sol·licituds semblen procedir de fonts fiables com DocuSign, per a protegir les seues organitzacions.
Referències
- https://blog.segu-info.com.ar/2024/11/ataques-de-phishing-mediante-abuso-de.html
- https://lab.wallarm.com/attackers-abuse-docusign-api-to-send-authentic-looking-invoices-at-scale/