scammers假冒Docusign模板进行敲诈和盗取公司财产

Docusign欺诈邮件的上升趋势

重要资讯概览

最近针对Docusign的假冒钓鱼邮件激增,主要受到地下市场的推动,该市场提供了假模板和登录凭据。这些假邮件旨在欺骗用户点击,并窃取敏感信息。研究人员指出,网络犯罪分子正在利用这些渗透攻击,并通过购买现成的恶意模板来简化他们的操作。

过去一个月,AbnormalSecurity的研究人员表示,他们发现针对Docusign的钓鱼攻击显著上升。这些攻击模仿了真正的Docusign请求。一番调查使他们踏入一个俄罗斯的网络犯罪论坛,卖家在那里兜售各种类似正品电子邮件和文件的模板。

钓鱼攻击的地下市场

这个市场上的主要文件签署软件一直以来为钓鱼者提供了丰沃的土壤。Docusign因其普及度而成为受害者的主要目标,因为它经常用于存储和传输含有敏感数据的有价值文件。Docusign电子邮件通常较为普通,这使得假冒变得相对简单,并且通常都有一个诱人的黄色按钮,促使用户在思考之前就点击。

Abnormal Security的首席信息安全官MikeBritton解释道:“大家已经被调整过了,尤其是在经历了一段时间的工作之后,Docusign的链接看起来就是某种样子。它有蓝色背景和'Docusign'标志,具有独特的外观和感觉。我在任何一周大概都有毛病要签署半打Docusign的文件——无论是来自供应商、合作伙伴还是其他来源——我已经习惯了看到它、点击它,然后进入自动驾驶模式。”

为了实现这种完美的外观和感觉以使受害者放松警惕,攻击者会花时间精心制作看似正品的Docusign电子邮件和文件模板。相对于这些较为复杂的操作,某些业余的、懒惰的或过度工作的黑客,也许会选择从线上市场上购买现成的恶意模板。毕竟,Britton表示,适合Docusign、Amazon、PayPal等的全新模板的价格可以低至10美元。

![Docusign钓鱼邮件示例](https://abnormalsecurity.com/_next/image?url=https%3A%2F%2Foptimise2.assets- servd.host%2Fgifted- 删除%3Fw%3D1536%26h%3D799%26auto%3Dcompress%252Cformat%26fit%3Dcrop%26dm%3D1715717607%26s%3Dce21586415c44a722165eb1601a45d48&w=3840&q=75&width=430&auto=webp&quality=80&disable=upscale)

来源:Abnormal Security

利用这样廉价的资源,攻击者可以方式多样地设计钓鱼邮件,欺骗目标组织的员工。比如,他们可以发送假文件,要求用户输入个人识别信息(PII),或者将用户重定向至假登录页面以提交他们的真实Docusign登录凭据。之后,他们可以利用所获取的数据,或更可能将其出售给网络犯罪链条中的下一个买家。

“我们早已不再是网络犯罪者完全掌控攻击整个生命周期的那个时代了,”Britton分享道。“如今,如果我要攻击10,000名受害者并窃取他们的钱,我只需要购买凭据,买进入权限——获取必要资产来简化这一过程。”

除了电子邮件和文件模板外,钓鱼者还有一个繁荣的市场来源,就是他们从中获取的登录凭据。这里的攻击,开始变得更加可怕。

对企业的影响

灵活利用廉价登录凭据,黑客可以深入探查员工的Docusign历史,查找他们近几个月内涉及的所有敏感文件。他们可以利用雇主合同、供应商协议和支付信息来进行勒索攻击,或将其出售给更深层的攻击者。他们还可以用这些信息识别新的高价目标,并冒充某个公司的特定人员或合作伙伴公司的联系人。

例如,一名攻击者可以在公司通常每月支付供应商的时间里发送一个请求。利用受损员工的Docusign历史中的信息,他们可以冒充一位直接上司或供应商财务部的负责人,并在电子邮件中附上具体、真实的文件作为参考。

为了防止这种情况或任何其他潜在的最坏情况,AbnormalSecurity建议员工随时留意可疑的电子邮件发件人和链接地址、冷淡的电子邮件问候,以及异常简短的Docusign安全码,并直接从公司的网站打开文件,而不是通过电子邮件。同时,切勿打开你没有预期的文件。

Britton承认:“每个人都很忙。无论你是在办公室,还是在工作和个人生活交织的混合工作环境中,最安全的做法就是拿起电话说:‘嘿,我刚收到你的这封电子邮件。它是真的吗?’”

Leave a Reply

Required fields are marked *