Sahte şablonlar ve oturum açma kimlik bilgileri için gelişen yeraltı pazarı sayesinde DocuSign’ı taklit eden kimlik avı e-postaları artıyor.
Geçen ay, Abnormal Security’den araştırmacılar bir kişiyi takip ettiklerini iddia ediyor. Kimlik avı saldırılarında önemli artış meşru DocuSign isteklerini taklit edecek şekilde tasarlanmıştır. Tavşan deliğinden aşağıya kısa bir yolculuk onları, satıcıların orijinal e-postalara ve belgelere benzeyen çeşitli şablonlar sattığı bir Rus siber suç forumuna götürdü.
Kimlik Avının Yeraltı Pazarı
Pazarın önde gelen belge imzalama yazılımı uzun süredir Kimlik avcıları için verimli alanlar. Popülerliği yardımcı olur ve genellikle hassas veriler içeren değerli belgeleri depolamak ve aktarmak için kullanılır. DocuSign e-postaları genel olma eğilimindedir ve bu da onları dövülecek bir çocuk oyuncağıKullanıcıları, bir kez daha düşünmeden önce tıklamaya çağıran büyük, sarı bir düğme bulunur.
Anormal Güvenlik’in CISO’su Mike Britton, “Herkes, özellikle de işyerinde bir süre kaldıktan sonra, DocuSign bağlantılarının belirli bir şekilde göründüğüne şartlandırıldı” diye açıklıyor. “Mavi arka planı ve ‘DocuSign’ logosu var. [characteristic] bak ve hisset. Herhangi bir haftada muhtemelen DocuSign için imzalamam gereken yarım düzine farklı şeyle uğraşıyorum – ister bir satıcıdan, ister bir ortaktan olsun – onu görmeye, tıklamaya ve bir nevi içeri girmeye şartlanmış durumdayım. otomatik pilot.”
Bir saldırgan, kurbanları otomatik pilota geçirmek için gerekli olan mükemmel görünümü ve hissi elde etmek amacıyla meşru görünümlü DocuSign e-posta ve belge şablonlarını sıfırdan oluşturmaya zaman ayırabilir. Amatör, tembel, çok çalışan veya basitçe mantıklı ve verimli bilgisayar korsanları bunun yerine çevrimiçi pazarlardan hazır kötü amaçlı yazılımlar satın alabilir. Sonuçta Britton, DocuSign, Amazon, PayPal ve daha fazlası için yeni bir şablonun maliyetinin 10 ABD doları kadar düşük bir maliyetle gerçekleştiğini söylüyor.
Kaynak: Anormal Güvenlik
Ellerindeki bu kadar ucuz bir kaynakla saldırganlar, hedeflenen kuruluşların çalışanlarını çeşitli şekillerde kandıracak kimlik avı e-postaları hazırlayabilir. Örneğin, kullanıcıların kişisel kimlik bilgilerini (PII) girmelerini isteyen sahte belgeler gönderebilir veya kullanıcıları, gerçek DocuSign oturum açma kimlik bilgilerini göndermeleri için sahte oturum açma sayfalarına yönlendirebilirler. Daha sonra elde ettikleri verilerden yararlanabilirler veya daha büyük olasılıkla bunları gıda zincirindeki bir sonraki alıcıya satabilirler.
Britton’un dediği gibi, “Siber suçluların tüm yaşam döngüsünü kontrol ettiği günleri çoktan geride bıraktık [of an attack]. Şimdi, eğer 10.000 kurbana saldırıp onlardan para çalmak istersem, gidip kimlik bilgileri alacağım. [and] Erişimi satın alın; erişimi kısaltmak için gerekli varlıklar.”
Dolayısıyla, e-posta ve belge şablonlarının yanı sıra, kimlik avcılarının topladığı oturum açma bilgileri için de gelişen bir pazar var. Saldırıların çirkinleşmeye başladığı yer burasıdır.
Şirketlere Sonuçları
Bilgisayar korsanları, ucuz oturum açma kimlik bilgileriyle çalışanların son aylarda kullandıkları tüm hassas belgeler için DocuSign geçmişlerini inceleyebilir. İşveren sözleşmelerinden, satıcı sözleşmelerinden ve ödeme bilgilerinden elde edilen bilgileri şantaj saldırılarında şantaj için yem olarak kullanabilir veya daha ilerideki saldırganlara satabilirler. Ayrıca bunu yeni, daha yüksek değerli hedefleri belirlemek ve bir şirketteki veya ortak şirketteki belirli kişilerin kimliğine bürünmek için de kullanabilirler.
Örneğin, bir saldırgan, bir şirketin satıcısına genellikle her ay ödeme yaptığı dönemde havale talebini zaman aşımına uğratabilir. Güvenliği ihlal edilmiş bir çalışanın DocuSign geçmişindeki bilgileri kullanarak, doğrudan bir amirin veya bir satıcı finans departmanının yetkili kişisinin kimliğine bürünebilir ve referans olarak e-postaya belirli, gerçek belgeler ekleyebilirler.
Bunu veya diğer olası en kötü senaryoları önlemek için Abnormal Security, çalışanların her zaman şüpheli e-posta gönderenlerine ve bağlantı adreslerine, kişisel olmayan e-posta karşılamalarına ve alışılmadık derecede kısa DocuSign güvenlik kodlarına karşı dikkatli olmalarını ve belgeleri doğrudan şirketin web sitesinden açmalarını önerir. e-posta yerine. Ve son olarak beklemediğiniz belgeleri açmayın.
Britton “Herkes meşgul” diye kabul ediyor. “İster ofiste olun ister kişisel hayatınızın üzerinize geldiği karma bir çalışma ortamında olun, en güvenli bahis telefonu alıp şunu söylemektir: ‘Hey, bu e-postayı senden az önce aldım. yasal mı?”