Saldırganlar, Geniş Ölçekte Otantik Görünümlü Faturalar Göndermek İçin DocuSign API’yi Kötüye Kullanıyor

   Kasım 25, 2024  Posted in Mix


Endişe verici bir trend olarak, siber suçlular çarpıcı derecede orijinal görünen sahte faturalar göndermek için DocuSign’ın API’lerinden yararlanıyor. Aldatıcı şekilde hazırlanmış e-postalara ve kötü amaçlı bağlantılara dayanan geleneksel kimlik avı dolandırıcılıklarının aksine, bu olaylarda saygın şirketlerin kimliğine bürünmek, kullanıcıları ve güvenlik araçlarını hazırlıksız yakalamak için orijinal DocuSign hesapları ve şablonları kullanılır.

Norton'un markası ve düzeni kullanılarak DocuSign aracılığıyla gönderilen gerçek sahte faturayı gösteren bir e-postanın ekran görüntüsü.
Norton’un markalaması ve düzeni kullanılarak DocuSign aracılığıyla gönderilen gerçek bir sahte fatura.

Olağandışı Şüpheliler: Geleneksel Kimlik Avının Ötesinde
Tipik kimlik avı saldırıları genellikle güvenilir markaları taklit eden, kurbanları kötü amaçlı bağlantılara tıklamaya yönlendiren veya banka hesabınızın kullanıcı adı ve şifresi gibi hassas bilgileri sağlayan sahte e-postaları içerir. E-posta ve anti-spam filtreleri, kullanıcılar için bu taktikleri işaretleme konusunda sürekli olarak daha iyi hale geliyor.

Kötü amaçlı e-postalar aslında güvenilir hizmetlerden geldiğinde, bunların tanımlanması çok daha zorlaşır. Saldırganlar daha önce Google dokümanlarından belge paylaşmak gibi farklı çevrimiçi hizmetleri kullanmıştı. Bu son olaylar, kötü amaçlı içerik sunmak için e-imzalama hizmeti Docusign’ı kullanıyor.

İşte nasıl çalışıyor? Saldırgan, şablonları değiştirmesine ve API’yi doğrudan kullanmasına olanak tanıyan meşru, ücretli bir DocuSign hesabı oluşturur. Saldırgan, çoğunlukla yazılım şirketleri olmak üzere tanınmış markalardan gelen belgeleri e-imzalama isteklerini taklit eden özel hazırlanmış bir şablon kullanıyor; örneğin Norton Antivirus.

DocuSign'ın resmi şablonlarını kullanan ve meşru markalamayla tamamlanan bir DocuSign belgesini gösteren ekran gösterisi.
Meşru markalamayla tamamlanan DocuSign’ın resmi şablonlarının kullanımı.

Bu sahte faturalar, ürünlerin orijinal görünmesini sağlamak için doğru fiyatlandırmanın yanı sıra 50 ABD doları tutarındaki etkinleştirme ücreti gibi ek ücretler içerebilir. Diğer senaryolar arasında doğrudan havale talimatları veya satın alma siparişleri yer alır.

Kullanıcılar bu belgeyi e-imzalarsa, saldırgan imzalı belgeyi kullanarak DocuSign dışındaki kuruluştan ödeme talep edebilir veya imzalanan belgeyi ödeme için DocuSign aracılığıyla finans departmanına gönderebilir.

Diğer girişimlerde, farklı öğelere sahip farklı faturalar yer aldı; genellikle faturalar için aynı imza alma modeli izlenerek saldırganın banka hesaplarına ödeme yapılmasına izin verildi.

Faturalar doğrudan DocuSign platformu aracılığıyla gönderildiğinden, e-posta hizmetleri ve spam/kimlik avı filtreleri açısından yasal görünmektedir. Kötü amaçlı bağlantı veya ek yoktur; tehlike, talebin gerçekliğinde yatmaktadır.

Geçtiğimiz beş ay boyunca, bu tür kötü amaçlı kampanyalara ilişkin kullanıcı raporları gözle görülür biçimde arttı ve DocuSign’ın topluluk forumlarında dolandırıcılık faaliyetleriyle ilgili tartışmalarda artış görüldü. Bu konu bir örnektir: docusign.net Etki Alanından Gelen Kimlik Avı E-postaları

Bu kullanıcı raporları endişe verici bir modeli vurguluyor: Saldırganlar yalnızca şirketlerin kimliğine bürünmekle kalmıyor, aynı zamanda saldırılarını gerçekleştirmek için meşru iletişim kanallarına da dahil oluyorlar.

DocuSign API’lerinin Kötüye Kullanımı: Geniş Ölçekte Otomasyon
DocuSign’ın topluluk forumlarında bildirilen olayların uzunluğu ve kapsamı, bunların tek seferlik manuel saldırılar olmadığını açıkça göstermektedir. Bu saldırıların gerçekleştirilebilmesi için faillerin süreci otomatikleştirmesi gerekmektedir. DocuSign, meşru otomasyon için bu kötü amaçlı faaliyetler için kötüye kullanılabilecek API’ler sunar. Wallarm güvenlik araştırmacıları bu etkinlik konusunda uyarıldı çünkü böyle bir e-posta aldık.

Saldırgan, Envelopes: create API gibi uç noktaları kullanarak minimum düzeyde manuel müdahaleyle büyük miktarlarda sahte faturalar gönderebilir.

DocuSign’ın API dostu ortamı, işletmeler için faydalı olsa da, istemeden de olsa kötü niyetli aktörlerin operasyonlarını ölçeklendirmelerine bir yol sağlar. Saldırganlar, ücretli hesaplar ve resmi şablonlara erişim sayesinde, Norton’unki gibi ticari markaların izinsiz kullanımı da dahil olmak üzere, faturaları hedef şirketlerin markalarıyla eşleşecek şekilde özelleştirebilir.

Envelopes:create API'sine yönelik DocuSign belgelerinin ekran görüntüsü
Zarflara ilişkin belgeler: https://developers.docusign.com/docs/esign-rest-api/reference/envelopes/envelopes/create/ adresinde mevcut API oluşturma

Kuruluşunuzu Korumak
Wallarm güvenlik araştırmacıları bu tehdidin DocuSign ile sınırlı olmadığını vurguluyor. Diğer e-imza ve belge hizmetleri de benzer istismar taktiklerine karşı aynı derecede savunmasız olabilir. Kuruluşunuzu korumak için şunları öneriyorlar:

Kuruluşlar için:

  • Gönderenin Kimlik Bilgilerini Doğrulama: Gönderenin e-posta adresini ve ilgili hesapların meşruiyetini her zaman iki kez kontrol edin (bir e-posta göndereni değil, Yanıtla e-posta alanı, @outlook veya Gmail gibi özel e-postalar endişelerinizi dile getirmelidir).
  • Dahili Onayların Gerekmesi: Satın almaların ve finansal işlemlerin onaylanması için mümkün olduğunca birden fazla ekip üyesinin katılımıyla katı iç prosedürler uygulayın.
  • Farkındalık Eğitimi Gerçekleştirilmesi: İletişim meşru görünse bile şüpheciliğin önemini vurgulayarak çalışanları bu yeni tehdit türü hakkında eğitin.
  • Anormalliklerin İzlenmesi: Beklenmedik faturalara veya taleplere, özellikle de olağandışı masraflar veya ücretler içerenlere dikkat edin. Küçük harfle başlayan soyadları bile dikkat çekmelidir.
  • DocuSign’ın Tavsiyelerini Takip Edin: DocuSign, kimlik avının nasıl önleneceği konusunda rehberlik sağlar.

Servis Sağlayıcılar için:

  • Tehdit Modellemesinin Yürütülmesi: API’lerinizin nerede kötüye kullanılabileceğini anlamak, etkili güvenlik kontrolleri uygulamanın anahtarıdır. Potansiyel kötüye kullanım noktalarını belirlemek için düzenli tehdit modelleme çalışmaları yapın.
  • API Oranını Uygulama: Hız sınırlaması yeni bir kontrol değildir ancak belirli API uç noktalarına hız sınırlaması uygulamak, bu özelliğin daha karmaşık bir uygulamasıdır. API’lerinizin nasıl kullanıldığını anlarsanız saldırganların ölçeklenmesini önlemek için daha akıllı hız sınırları uygulayabilirsiniz.
  • API Kötüye Kullanımını Tespit Etme: API kötüye kullanımının tespit edilmesi zordur ancak API’lerinizin davranışının profilini çıkarabilen ve anormal etkinlikleri tanımlayabilen araçlar vardır.

Çözüm
DocuSign gibi güvenilir platformların API’leri aracılığıyla kullanılması, siber suç stratejilerinde endişe verici bir gelişmeye işaret ediyor. Saldırganlar, dolandırıcılık faaliyetlerini meşru hizmetlere yerleştirerek başarı şanslarını artırırken tespit etmeyi de zorlaştırıyor. Kuruluşların güvenlik protokollerini geliştirerek, API güvenliğine öncelik vererek ve dikkatli olma kültürünü teşvik ederek uyum sağlaması gerekir.

Wallarm’ın kuruluşunuza nasıl yardımcı olabileceğini görmek için son teknoloji çözümlerimizin bir demosunu ayırtın.



Source link