Os cibercriminosos estão explorando a API de envelopes da DocuSign para distribuir faturas falsas em larga escala, utilizando domínios legítimos como o docusign.net para driblar proteções de segurança e enganar usuários com documentos que imitam empresas confiáveis, como Norton e PayPal. Com isso, os golpistas têm mais chances de sucesso ao solicitar assinaturas eletrônicas que podem resultar em autorizações de pagamento sem verificação rigorosa.
Ataques exploram API da DocuSign
A DocuSign é uma plataforma líder em assinaturas eletrônicas, usada por empresas para assinar e gerenciar documentos digitalmente. A API de envelopes é parte central da sua API REST, projetada para simplificar o envio e o monitoramento de documentos que necessitam de assinaturas. No entanto, segundo especialistas da Wallarm, criminosos têm utilizado contas pagas da DocuSign para explorar essa API e gerar faturas falsas, aproveitando os modelos oficiais da plataforma para criar documentos que se assemelham às comunicações de marcas renomadas.
Usando a função “Envelopes: criar” da API, os invasores conseguem produzir e enviar um alto volume de faturas fraudulentas para possíveis vítimas. Essas faturas geralmente trazem valores realistas, o que contribui para aumentar a legitimidade do golpe e, assim, induzir as vítimas a assinarem os documentos.
A técnica por trás do golpe
De acordo com a Wallarm, a assinatura eletrônica dos documentos fornece aos invasores a possibilidade de utilizar as faturas para solicitar pagamentos, mesmo sem o envolvimento direto do setor financeiro da empresa vítima. Em casos observados, as faturas incluíam diferentes itens e valores, mas mantinham a aparência de documentos genuínos, autorizando transferências para contas controladas pelos golpistas.
Notícias Relacionadas
Vulnerabilidade crítica
Cisco corrige falha crítica em pontos de acesso URWB que permite execução de comandos root
A Cisco corrigiu uma vulnerabilidade crítica nos pontos de acesso URWB, permitindo que atacantes executem comandos root, comprometendo a segurança em automação industrial. Modelos Catalyst IW9165D, IW9165E e IW9167E estão entre os afetados.
Falha investigada
Nokia investiga suposto vazamento de código-fonte
Nokia investiga alegação de que um hacker teria acessado seu código-fonte por meio de um fornecedor terceirizado. A empresa afirmou que não há evidências de impacto em seus sistemas, mas está monitorando o caso.
Abuso persistente e problemas de denúncia
Esse tipo de abuso na DocuSign não é novo, e relatos em fóruns da comunidade indicam que o problema tem ocorrido em uma frequência alarmante. Usuários compartilham experiências de receber vários e-mails de phishing semanalmente e destacam a dificuldade em relatar tais atividades devido à falta de canais de denúncia adequados no site da DocuSign.
“Comecei a receber de três a cinco e-mails de phishing por semana do domínio docusign.net, mas não consegui encontrar nenhuma forma de denúncia que funcione,” comentou um cliente nos fóruns da DocuSign, expressando frustração pela falta de suporte.
Medidas e desafios para mitigar abusos
Esses ataques estão sendo realizados de maneira automatizada, o que indica um grande volume de tentativas e aumenta a visibilidade do problema. Embora o BleepingComputer tenha solicitado um posicionamento da DocuSign sobre as medidas antiabuso, nenhuma resposta foi fornecida até o momento.
O abuso de APIs em plataformas de grande porte, como a DocuSign, apresenta desafios significativos de segurança. Em casos recentes, hackers também abusaram de APIs para extrair informações de milhões de usuários de outras plataformas, como no caso do Authy, da Dell e do Trello, mostrando a importância de reforçar a proteção desses sistemas.
