Los cibercriminales están abusando de una API de Docusign en una innovadora campaña de phishing a gran escala para enviar facturas falsas a usuarios corporativos. Los documentos parecen auténticos y probablemente no activarían las defensas de seguridad típicas ni despertarían sospechas en los usuarios, como podrían hacerlo muchas estafas similares.
En los últimos cinco meses, los informes de usuarios sobre este tipo de campañas maliciosas han aumentado notablemente y los foros de la comunidad de DocuSign han visto un aumento en las discusiones sobre actividades fraudulentas. Este hilo es un ejemplo.
Investigadores de la empresa de seguridad Wallarm dicen que la campaña para engañar a las organizaciones, observada durante los últimos meses, implica que los atacantes creen una cuenta legítima y paga de Docusign utilizando el software que les permite cambiar las plantillas y utilizar la API directamente.
Los atacantes están aprovechando el "entorno compatible con API" de Docusign, que si bien es beneficioso para las empresas, también "proporciona inadvertidamente una forma para que los actores maliciosos escalen sus operaciones.
Específicamente, los investigadores observaron un abuso de "Envelopes: create API" de Docusign para enviar un volumen significativo de correos electrónicos automatizados a múltiples usuarios y destinatarios directamente desde la plataforma. Los mensajes utilizan plantillas especialmente diseñadas que "imitan solicitudes de firma electrónica de documentos de marcas conocidas".
Las facturas falsas empleadas en la campaña también aprovechan otras tácticas para dar autenticidad a la estafa. Estas incluyen ofrecer precios precisos para los productos de una empresa; la adición de los tipos de cargos esperados, como una tarifa de activación; la inclusión de instrucciones de transferencia directa u órdenes de compra; y el envío de diferentes facturas con diferentes artículos.
En definitiva, si un usuario firma electrónicamente el documento, un actor de amenazas puede usarlo para solicitar el pago a organizaciones ajenas a Docusign o enviar el documento firmado a través de Docusign al departamento de finanzas para obtener una compensación, cometiendo así un fraude.
El vector de ataque puede no limitarse a Docusign, advirtieron los investigadores de Wallarm; otros servicios de firma electrónica y documentos podrían ser igualmente vulnerables a tácticas de explotación similares.
Estafa con facturas falsas
Las facturas falsas suelen ser parte de estafas de phishing con motivaciones económicas, y Docusign, que ofrece un software enormemente popular para firmas digitales con más de 1,5 millones de clientes que pagan y mil millones de usuarios en todo el mundo, suele ser un objetivo para los phishers. Sin embargo, un ataque basado en API puede ser potencialmente más eficaz que las estafas que simplemente utilizan el reconocimiento de nombres o se hacen pasar por la marca.
La principal de ellas es que, dado que los correos electrónicos provienen directamente de Docusign, "parecen legítimos para los servicios de correo electrónico y los filtros de spam/phishing. No hay enlaces ni archivos adjuntos maliciosos; el peligro reside en la autenticidad de la solicitud en sí".
De hecho, debido a que el ataque utiliza un exploit de API, probablemente no habrá muchas señales que sean fáciles de detectar, como en un correo electrónico falsificado. La popularidad de Docusign convierte al servicio en un gran objetivo para este tipo de ataque a gran escala debido al potencial de automatización mediante el aprovechamiento de la API, afirma. La gente confía en las marcas que reconoce, especialmente las que se utilizan a menudo en funciones legales u otras funciones oficiales.
Las organizaciones siempre deben verificar la dirección de correo electrónico del remitente y las cuentas asociadas para verificar su legitimidad, así como también implementar procedimientos internos estrictos para aprobar compras y transacciones financieras que involucren a varios miembros del equipo, si es posible.
"Resulta fascinante ver lo sofisticados que se han vuelto los cibercriminales, que aprovechan herramientas legítimas como Docusign para crear ataques de phishing realistas", afirma Randolph Barr, CISO de Cequence. Esto pone de relieve la importancia de verificar la fuente de cualquier solicitud de firma de documentos, incluso si parece proceder de una fuente fiable. Las organizaciones deben hacer hincapié en la importancia de hacer una pausa y verificar antes de tomar cualquier medida, incluso si parece urgente. Además, los equipos de TI y seguridad deben mantenerse informados sobre los últimos métodos y técnicas de ataque para proteger eficazmente a sus organizaciones.
Vigilar de cerca las facturas o solicitudes inesperadas, especialmente las que incluyen cargos o tarifas inusuales, también puede ayudar a las organizaciones a evitar pagar a los delincuentes en lugar de a las entidades legítimas.
Para las organizaciones:
- Verificación de las credenciales del remitente: siempre verifique dos veces la dirección de correo electrónico del remitente y las cuentas asociadas para comprobar su legitimidad.
- Exigir aprobaciones internas: implementar procedimientos internos estrictos para aprobar compras y transacciones financieras, involucrando a varios miembros del equipo cuando sea posible.
- Realizar capacitaciones de concientización: educar a los empleados sobre este nuevo tipo de amenaza, destacando la importancia del escepticismo incluso cuando las comunicaciones parezcan legítimas.
- Monitoreo de anomalías: estar atento a las facturas o solicitudes inesperadas, especialmente aquellas que incluyen cargos o tarifas inusuales. Incluso los apellidos que comienzan con minúscula deberían generar atención.
- Seguir los consejos de DocuSign: DocuSign brinda orientación sobre cómo evitar el phishing.
Los proveedores de servicios también pueden asumir la responsabilidad de mitigar los ataques basados en API al comprender cómo se pueden abusar de las API en los ataques de phishing.
Para proveedores de servicios:
- Realizar modelado de amenazas: comprender dónde se pueden abusar de sus API es fundamental para implementar controles de seguridad efectivos. Realice ejercicios de modelado de amenazas con regularidad para identificar posibles puntos de abuso.
- Implementar la tasa de consumo de API: la limitación del consumo (rate-limit) no es un control nuevo, pero aplicarla a puntos finales de API específicos brinda una capacidad más sofisticada de bloqueos. Si se entiende cómo se utilizan las API, se pueden implementar límites de consumo más inteligentes para evitar que los atacantes escalen.
- Detección del abuso de API: el abuso de API es difícil de detectar, pero existen herramientas que pueden perfilar el comportamiento de sus API e identificar actividades anómalas.
Fuente: Dark Reading