Хакеры используют DocuSign для массовой рассылки поддельных счетов

Хакеры нашли способ обмануть пользователей, используя платформу DocuSign. Они отправляют поддельные счета от имени известных компаний, таких как Norton и PayPal, через API сервиса. Письма выглядят убедительно, так как отправляются с официального домена DocuSign, и многие системы защиты не могут их заблокировать.

DocuSign, платформа для электронной подписи документов, активно используется в бизнесе для удобного и безопасного оформления контрактов. Одним из её главных инструментов является Envelopes API, позволяющий автоматизировать отправку документов на подпись. Однако, как оказалось, этот инструмент может стать уязвимостью, когда доступ к нему получают злоумышленники. Купив подписку, они пользуются всеми функциями DocuSign, включая шаблоны документов, которые позволяют им подделывать счета с логотипами и макетами реальных компаний.

Wallarm, компания по кибербезопасности, сообщила, что в этих фейковых счетах указываются суммы, которые не вызывают подозрений. Получателю предлагают подписать документ, что позволяет хакерам направить поддельный счёт в финансовый отдел компании или использовать его для прямого запроса оплаты.

Сами атаки проводятся на масштабном уровне — злоумышленники используют функцию API «Envelopes: create» для массовой рассылки счетов, что создаёт трудности для фильтров безопасности. При этом у пострадавших пользователей возникает проблема: стандартные почтовые адреса для жалоб вроде abuse@ или admin@ не работают для домена DocuSign, что затрудняет защиту.

Похожая проблема с безопасностью API встречалась и у других крупных компаний. Хакеры уже использовали API для верификации номеров телефонов в Authy, сбора данных 49 миллионов клиентов Dell и установления связей между email-адресами и 15 миллионами аккаунтов в Trello. Подобные атаки показывают, насколько трудно контролировать безопасность API, особенно если злоумышленник имеет легальный доступ к платформе.