Table of Contents
Criminosos cibernéticos estão abusando da API do Docusign em uma campanha de phishing inovadora e em larga escala. Eles enviam faturas falsas a usuários corporativos, que parecem autênticas, não acionando as defesas de segurança típicas ou as suspeitas dos usuários.
A fraude, observada nos últimos meses, resulta do uso de uma conta Docusign legítima e paga. Os atacantes criam essa conta usando software que permite alterar modelos e utilizar a API diretamente, conforme revelado pelos pesquisadores da Wallarm.
Esses criminosos tiram vantagem do “ambiente amigável à API” do Docusign. Embora isso beneficie as empresas, também cria uma oportunidade para que atores maliciosos ampliem suas operações, segundo o post.
Os pesquisadores notaram o uso indevido da API “Envelopes: create” do Docusign. Isso permite que os atacantes enviem um volume significativo de e-mails automatizados a múltiplos usuários diretamente da plataforma. As mensagens utilizam modelos cuidadosamente elaborados que imitam solicitações de assinatura de documentos de marcas conhecidas, principalmente empresas de software, como Norton Antivirus.
As faturas falsas utilizadas na campanha empregam uma série de táticas para aumentar a autenticidade da fraude. O uso de preços precisos, a adição de tipos de cobranças esperadas e instruções para transferência direta são algumas delas. Além disso, a inclusão de faturas variadas ajuda a criar confiança.
Se um usuário assina eletronicamente o documento, o ator malicioso pode solicitar o pagamento fora do Docusign ou enviar o documento assinado ao departamento financeiro, com o intuito de compensação, caracterizando fraude.
Os pesquisadores da Wallarm alertaram que esse vetor de ataque não está limitado ao Docusign. Outros serviços de assinatura eletrônica também podem ser vulneráveis a táticas similares.
Um Novo Tipo de Fraude com Faturas Falsas
Faturas falsas são frequentemente um componente de fraudes de phishing motivadas financeiramente. O Docusign, com mais de 1,5 milhão de clientes e 1 bilhão de usuários, é um alvo comum para phishers. No entanto, ataques baseados em API são potencialmente mais eficazes que fraudes que apenas imitam marcas ou reconhecimentos.
O principal motivo é que, como os e-mails parecem vir diretamente do Docusign, eles “parecem legítimos para serviços de e-mail e filtros de spam/phishing,” segundo a Wallarm. “Não há links ou anexos maliciosos; o perigo reside na autenticidade da solicitação.”
Com o uso de exploração de API, “provavelmente não haverá sinais fáceis de identificar, como em e-mails falsificados,” conforme observa Erich Kron, da KnowBe4. A popularidade do Docusign torna-o um alvo ideal para esse tipo de ataque devido ao potencial de automação na exploração da API. As pessoas têm tendência a confiar em marcas reconhecidas.
Mitigando Ciberataques de Assinatura Eletrônica e Abuso de API
Felizmente, existem diversas maneiras de proteger as organizações contra esses ataques. Estratégias que prestadores de serviços como Docusign podem adotar incluem a implementação de medidas de segurança da API.
As organizações devem sempre verificar o endereço de e-mail do remetente e qualquer conta associada quanto à legitimidade. Procedimentos internos rigorosos para aprovar compras e transações financeiras devem ser implementados, envolvendo múltiplos membros da equipe.
Randolph Barr, CISO da Cequence, destaca a importância de verificar a fonte de solicitações de assinatura. “As organizações devem enfatizar a importância de pausar e verificar antes de agir, mesmo que pareça urgente.” Além disso, equipes de TI devem estar atualizadas sobre novas táticas de ataque.
Estar atento a faturas inesperadas, especialmente aquelas com cobranças incomuns, também ajuda a evitar pagamentos a criminosos em vez de entidades legítimas.
Prestadores de serviços devem compreender como APIs podem ser abusadas em ataques de phishing. Realizar exercícios regulares de modelagem de ameaças e aplicar limites de taxa em pontos finais específicos de API são práticas recomendadas para evitar escalonamento em casos de abuso.
Exploração da API do DocuSign: Uma Ameaça Crescente
A tecnologia de assinaturas eletrônicas, como a oferecida pelo DocuSign, tornou-se uma peça central na modernização dos negócios. Mas essa mesma inovação também tem sido usada de forma maliciosa por cibercriminosos, especialmente através do abuso da API do DocuSign. Esse tipo de abuso representa um novo patamar de ameaça, explorando a confiança estabelecida pela plataforma para enviar faturas falsas e perpetrar fraudes.
A API do DocuSign é projetada para permitir que empresas integrem facilmente serviços de assinatura eletrônica em seus sistemas. Contudo, essa flexibilidade também tornou possível que criminosos cibernéticos utilizem a API para enganar vítimas ao enviar faturas que imitam documentos legítimos. Muitas vezes, esses ataques são amplificados através de campanhas de phishing automatizadas, enviando milhares de documentos maliciosos que imitam marcas confiáveis como Norton e PayPal. Esses e-mails, por parecerem originários de um serviço legítimo, burlam facilmente filtros de spam e segurança, aumentando muito seu potencial de sucesso.
Mecanismo do Abuso de API
A exploração da API do DocuSign se dá principalmente através da criação e envio de documentos fraudulentos que se parecem com comunicações empresariais legítimas. Criminosos cibernéticos utilizam contas legítimas para criar uma aparência de autenticidade, enganando tanto usuários quanto sistemas de segurança. Isso lhes permite solicitar assinaturas eletrônicas para aprovar falsamente transações financeiras.
Essa prática é especialmente perigosa quando combinada com táticas de engenharia social. Por exemplo, os atacantes notoriamente adicionam um senso de urgência às suas comunicações, pressionando os usuários a assinar documentos rapidamente e, assim, aumentar a chance de sucesso do golpe.
Táticas de Engenharia Social
Criminosos são hábeis em manipular o comportamento humano para alcançar seus objetivos. No contexto do DocuSign, eles podem criar um senso de urgência, solicitando ações rápidas sob pena de consequências negativas para a empresa. Além disso, as faturas falsas geralmente são sofisticadas o suficiente para enganar até mesmo profissionais experientes de contabilidade, que são levados a acreditar na legitimidade dos documentos devido à sua aparência bem elaborada.
Para tornar os ataques ainda mais desafiadores de evitar, a automação é frequentemente utilizada. Isso não apenas aumenta a quantidade de documentos falsos enviados, mas também ajuda a superar rapidamente os esforços de mitigação das empresas, uma vez que as respostas às ameaças tornam-se obsoletas diante da rápida evolução dos ataques automatizados.
Estratégias de Mitigação e Segurança
Mitigar os riscos associados a essas ameaças torna-se, portanto, uma prioridade para as organizações que utilizam o DocuSign. Elas devem adotar uma abordagem abrangente que inclua a verificação rigorosa de endereços de e-mail e a introdução de procedimentos internos para aprovação de transações financeiras. Além disso, é crucial o treinamento frequente dos funcionários sobre segurança e práticas de phishing, ajudando-os a reconhecer potenciais fraudes.
Empresas também devem considerar o uso de limites de taxa para suas APIs, o que pode limitar a capacidade dos criminosos de enviar em massa faturas fraudulentas. Atividades anômalas devem ser atentamente monitoradas, e ferramentas sofisticadas de segurança podem ser implementadas para identificar e responder a potenciais abusos da API. Isso inclui o registro e a análise da atividade de API, a detecção de padrões fora do normal e a introdução de alertas em tempo real.
Monitoramento e Comunicação Interna
O monitoramento contínuo é uma prática essencial, permitindo que empresas detectem rapidamente sinais de abuso. Ao monitorar a atividade anômala da API, como um número incomum de solicitações, as empresas podem responder proativamente a ameaças emergentes.
Manter comunicações eficazes dentro da organização também é crucial. As equipes devem ser capacitadas a relatar irregularidades nas contas do DocuSign rapidamente e a colaborar para resolver crises de segurança antes que possam causar danos significativos.
Construindo um Ambiente Seguro
Enquanto a segurança digital se torna uma preocupação cada vez mais complexa, as empresas devem se esforçar para criar uma cultura de segurança. A proteção contra o abuso da API do DocuSign não é apenas uma questão de tecnologia, mas também de prática organizacional. Isso requer o comprometimento de toda a empresa para proteger dados e transações eletrônicas contra fraudes.
Fortalecendo a Confiança no DocuSign
Apesar dos riscos, a reputação do DocuSign e sua utilidade permanecem. A organização pode reafirmar a confiança em sua plataforma ao implementar e promover fortes medidas de segurança, garantindo aos clientes que seus dados estão seguros. A adoção dessas práticas não apenas protege a empresa contra perdas financeiras, mas também resguarda sua reputação no mercado.
Saiba Mais
- Documentação oficial da DocuSign
- Artigo sobre abuso da API
- Suporte da DocuSign
- Notícia sobre faturas falsas
- Blog sobre ataques de phishing
#DocusignAPI #PhishingAttacks #Cybersecurity #DocuSign #FraudPrevention #FinancialFraud #Cybercrime #APIexploitation #Alegon