Os cibercriminosos estão explorando a API de envelopes da DocuSign para distribuir faturas falsas em larga escala, utilizando domínios legítimos como o docusign.net para driblar proteções de segurança e enganar usuários com documentos que imitam empresas confiáveis, como Norton e PayPal. Com isso, os golpistas têm mais chances de sucesso ao solicitar assinaturas eletrônicas que podem resultar em autorizações de pagamento sem verificação rigorosa.
Ataques exploram API da DocuSign
A DocuSign é uma plataforma líder em assinaturas eletrônicas, usada por empresas para assinar e gerenciar documentos digitalmente. A API de envelopes é parte central da sua API REST, projetada para simplificar o envio e o monitoramento de documentos que necessitam de assinaturas. No entanto, segundo especialistas da Wallarm, criminosos têm utilizado contas pagas da DocuSign para explorar essa API e gerar faturas falsas, aproveitando os modelos oficiais da plataforma para criar documentos que se assemelham às comunicações de marcas renomadas.
Usando a função “Envelopes: criar” da API, os invasores conseguem produzir e enviar um alto volume de faturas fraudulentas para possíveis vítimas. Essas faturas geralmente trazem valores realistas, o que contribui para aumentar a legitimidade do golpe e, assim, induzir as vítimas a assinarem os documentos.
A técnica por trás do golpe
De acordo com a Wallarm, a assinatura eletrônica dos documentos fornece aos invasores a possibilidade de utilizar as faturas para solicitar pagamentos, mesmo sem o envolvimento direto do setor financeiro da empresa vítima. Em casos observados, as faturas incluíam diferentes itens e valores, mas mantinham a aparência de documentos genuínos, autorizando transferências para contas controladas pelos golpistas.
Notícias Relacionadas
Ataque cibernético
Hackers chineses exploram falha zero-day do Fortinet VPN para roubo de credenciais
Hackers chineses exploram vulnerabilidade zero-day no FortiClient VPN para roubar credenciais, com o uso de ferramentas avançadas como DeepData.
Segurança cibernética
Vulnerabilidades recentes no VMware vCenter Server sendo exploradas em ataques ativos
Duas vulnerabilidades críticas no VMware vCenter Server, CVE-2024-38812 e CVE-2024-38813, estão sendo ativamente exploradas, conforme alerta da Broadcom.
Abuso persistente e problemas de denúncia
Esse tipo de abuso na DocuSign não é novo, e relatos em fóruns da comunidade indicam que o problema tem ocorrido em uma frequência alarmante. Usuários compartilham experiências de receber vários e-mails de phishing semanalmente e destacam a dificuldade em relatar tais atividades devido à falta de canais de denúncia adequados no site da DocuSign.
“Comecei a receber de três a cinco e-mails de phishing por semana do domínio docusign.net, mas não consegui encontrar nenhuma forma de denúncia que funcione,” comentou um cliente nos fóruns da DocuSign, expressando frustração pela falta de suporte.
Medidas e desafios para mitigar abusos
Esses ataques estão sendo realizados de maneira automatizada, o que indica um grande volume de tentativas e aumenta a visibilidade do problema. Embora o BleepingComputer tenha solicitado um posicionamento da DocuSign sobre as medidas antiabuso, nenhuma resposta foi fornecida até o momento.
O abuso de APIs em plataformas de grande porte, como a DocuSign, apresenta desafios significativos de segurança. Em casos recentes, hackers também abusaram de APIs para extrair informações de milhões de usuários de outras plataformas, como no caso do Authy, da Dell e do Trello, mostrando a importância de reforçar a proteção desses sistemas.
