Siber suçlular, şaşırtıcı derecede orijinal görünen sahte faturalar göndermek için DocuSign’ın API’sinden yararlanmaya başladı.
Kötü hazırlanmış e-postalara ve kötü amaçlı bağlantılara dayanan geleneksel kimlik avı planlarının aksine, bu saldırılar, tanınmış şirketlerin kimliğine bürünmek için meşru DocuSign hesaplarını ve şablonlarını kullanır, bu da kullanıcıların ve güvenlik sistemlerinin bunları tespit etmesini zorlaştırır.
DocuSign’ın API’sinden Yararlanma: Büyük Ölçekte Otomasyon
Geleneksel kimlik avı saldırıları genellikle güvenilir markaları taklit eden, kurbanları kötü amaçlı bağlantılara tıklamaları veya şifreler veya banka bilgileri gibi hassas bilgileri paylaşmaları için kandıran sahte e-postaları içerir.
E-posta filtreleri ve istenmeyen posta önleme önlemleri bu saldırıları tespit etmede daha ustalaşırken, DocuSign gibi güvenilir hizmetleri kullanmanın yeni taktiği, tespit etmeyi önemli ölçüde zorlaştırıyor.
Şirket içi bir SOC oluşturun veya Hizmet Olarak SOC’yi dış kaynak olarak kullanın -> Maliyetleri Hesaplayın
Bu olaylarda saldırganlar, şablonları değiştirmelerine ve belgeleri doğrudan göndermek için DocuSign’ın API’sini kullanmalarına olanak tanıyan meşru, ücretli DocuSign hesapları oluşturur.
Bu e-postalar, Norton Antivirus gibi tanınmış markaların e-imza isteklerini taklit ederek son derece orijinal görünür.
Bir kurbanın yakın zamanda çekilmiş bir ekran görüntüsü, Norton’un resmi markasını ve düzenini kullanarak DocuSign aracılığıyla gönderilen sahte bir faturayı gösteriyor.
Sahte faturalar, güvenilir görünmelerini sağlamak için doğru ürün fiyatlandırmasını ve 50 ABD doları tutarındaki etkinleştirme ücreti gibi ek ücretleri içerir. Bazı durumlarda dolandırıcılık, doğrudan telgraf talimatlarını veya satın alma emirlerini içerir.
Nasıl Çalışır?
Kurban belgeyi imzaladıktan sonra saldırgan doğrudan kuruluştan ödeme talep edebilir veya imzalanan belgeyi işlenmek üzere şirketin finans departmanına gönderebilir.
Bu faturalar DocuSign platformu aracılığıyla teslim edildiğinden, kötü amaçlı bağlantılar veya ekler içermediklerinden geleneksel spam filtrelerini atlarlar.
Tehlike yalnızca isteğin aldatıcı orijinalliğinde yatmaktadır.
Son birkaç ayda bu kötü niyetli kampanyalara ilişkin raporlar arttı. DocuSign’ın topluluk forumlarında, kullanıcıların benzer deneyimleri paylaşmasıyla dolandırıcılık faaliyetleriyle ilgili tartışmalarda artış görüldü.
Bu saldırıların devam eden doğası, bunların münferit olaylar olmadığını, daha geniş, otomatikleştirilmiş bir kampanyanın parçası olduğunu gösteriyor.
Wallarm raporlarına göre Siber suçlular, bu saldırıları otomatikleştirmek için DocuSign’ın API’sini kullanıyor ve bu da onlara minimum manuel çabayla büyük miktarlarda sahte fatura göndermelerine olanak tanıyor.
Saldırganlar, “Zarflar: API oluşturma” gibi uç noktaları kullanarak operasyonlarını hızlı ve verimli bir şekilde ölçeklendirebilir.
Ek olarak, Norton’unki gibi ticari markaları izinsiz kullansalar dahi, faturaları hedeflenen şirketlerin markalarıyla eşleşecek şekilde özelleştiriyorlar.
DocuSign’ın API’sinin kötüye kullanılması, siber suç taktiklerinde endişe verici bir gelişmenin altını çiziyor.
Bilgisayar korsanları, güvenilir platformlardan yararlanarak meşru iletişim kanallarına dolandırıcılık faaliyetleri yerleştirir ve tespit edilmesini zorlaştırır.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!