Siber suçlular Docusign API’sini kötüye kullanıyor geniş ölçekli, yenilikçi kimlik avı kampanyası kurumsal kullanıcılara orijinal görünen ve muhtemelen tipik güvenlik savunmalarını veya kullanıcı şüphelerini tetiklemeyecek, benzer dolandırıcılıkların çoğunda olduğu gibi sahte faturalar göndermek.
Son birkaç ayda gözlemlenen, kuruluşları dolandırmaya yönelik kampanya, saldırganların meşru, ücretli bir ağ oluşturmasını içeriyor. Docusign hesabı Güvenlik firması Wallarm’daki araştırmacılar, şablonları değiştirmelerine ve API’yi doğrudan kullanmalarına olanak tanıyan yazılımı kullanarak açıklığa kavuşmuş bu hafta yayınlanan bir blog yazısında.
Gönderiye göre, saldırganlar Docusign’ın “API dostu ortamından” yararlanıyor; bu ortam işletmeler için faydalı olsa da aynı zamanda “kötü niyetli aktörlerin operasyonlarını ölçeklendirmelerine istemeden de olsa bir yol sağlıyor”.
Araştırmacılar özellikle, Docusign’ın “Zarflar: API oluştur” özelliğinin, doğrudan platformdan çok sayıda kullanıcıya ve alıcıya önemli miktarda otomatik e-posta olduğu ortaya çıkanlardan birini göndermek için kötüye kullanıldığını gözlemlediler. Wallarm’ın gönderisine göre, mesajlarda, çoğunlukla Norton Antivirus gibi yazılım şirketleri olan “tanınmış markalardan gelen belgeleri e-imzalama isteklerini taklit eden” özel hazırlanmış şablonlar kullanılıyor.
Kampanyada kullanılan sahte faturalar, dolandırıcılığa özgünlük kazandırmak için bir dizi başka taktikten de yararlanıyor. Bunlar arasında bir şirketin ürünleri için doğru fiyatlandırmanın sunulması; etkinleştirme ücreti gibi beklenen türde ücretlerin eklenmesi; doğrudan havale talimatlarının veya satın alma emirlerinin dahil edilmesi; ve farklı öğelerle farklı faturaların gönderilmesi.
Sonuçta, bir kullanıcı belgeyi e-imzalarsa, bir tehdit aktörü bunu Docusign dışındaki kuruluşlardan ödeme talep etmek için kullanabilir veya imzalanan belgeyi tazminat için Docusign aracılığıyla finans departmanına göndererek dolandırıcılık yapabilir.
Saldırı vektörü aşağıdakilerle sınırlı olmayabilir: Belge imzasıWallarm araştırmacıları uyardı; diğer e-imza ve belge hizmetleri de benzer istismar taktiklerine karşı aynı derecede savunmasız olabilir.
Yeni Bir Sahte Fatura Dolandırıcılığı Türü
Sahte faturalar genellikle finansal amaçlı kimlik avı dolandırıcılıklarının bir parçasıdır ve dünya çapında 1,5 milyondan fazla ödeme yapan müşterisi ve 1 milyar kullanıcısı ile dijital imzalar için son derece popüler bir yazılım sunan Docusign, genellikle kimlik avı yapanların hedefidir. Bununla birlikte, API tabanlı bir saldırı, çeşitli nedenlerden ötürü, yalnızca isim tanımayı kullanan veya markayı taklit eden dolandırıcılıklardan potansiyel olarak daha etkili olabilir.
Wallarm’ın gönderisine göre bunların başında e-postalar doğrudan Docusign’dan geldiği için “e-posta hizmetleri ve spam/kimlik avı filtreleri açısından meşru görünmesi” geliyor. “Kötü niyetli bağlantı veya ek yok; tehlike, isteğin gerçekliğinden kaynaklanıyor.”
KnowBe4’ün güvenlik farkındalığı savunucusu Erich Kron, saldırının bir API istismarı kullanması nedeniyle, “muhtemelen sahte bir e-postada olduğu gibi fark edilmesi kolay pek çok işaret olmayacağını” gözlemliyor. Üstelik Docusign’ın popülaritesi, API’den yararlanılarak otomasyon potansiyeli nedeniyle hizmeti büyük ölçekte “bu tür saldırılar için büyük bir hedef” haline getiriyor ve şunu ekliyor: “İnsanlar tanıdıkları ve tanıdıkları markalara güveniyorlar özellikle yasal veya diğer resmi kapasitelerde sıklıkla kullanılanlar.”
E-İmza Siber Saldırılarını ve API Kötüye Kullanımını Azaltma
Neyse ki kuruluşların kendilerini bu tür inandırıcı saldırılarla dolandırılmaktan koruyabilecekleri çeşitli yolların yanı sıra Docusign gibi hizmet sağlayıcıların bu saldırıları önlemek veya tespit etmek için uygulayabileceği stratejiler var. API’nin kötüye kullanılmasıWallarm’a göre.
Kuruluşlar, gönderenin e-posta adresini ve ilgili hesapların meşruiyetini her zaman iki kez kontrol etmeli ve mümkünse birden fazla ekip üyesini içeren satın almaları ve mali işlemleri onaylamak için katı iç prosedürler uygulamalıdır.
Cequence’in CISO’su Randolph Barr, “Gerçekçi kimlik avı saldırıları oluşturmak için Docusign gibi yasal araçlardan yararlanan siber suçluların ne kadar karmaşık hale geldiğini görmek büyüleyici” diyor. “Bu, güvenilir bir kaynaktan geliyor gibi görünse bile herhangi bir belge imzalama isteğinin kaynağını doğrulamanın önemini vurguluyor. [Organizations] acil görünse bile herhangi bir eyleme geçmeden önce duraklatmanın ve doğrulamanın önemini vurgulamalıdır. Ayrıca BT ve güvenlik ekiplerinin, kuruluşlarını etkili bir şekilde korumak için en son saldırı yöntemleri ve teknikleri hakkında bilgi sahibi olmaları gerekiyor.”
Beklenmedik faturaları veya talepleri, özellikle de olağandışı ücretler veya ücretler içerenleri yakından takip etmek, kuruluşların meşru kuruluşlar yerine suçlulara ödeme yapmaktan kaçınmasına da yardımcı olabilir.
Hizmet sağlayıcılar aynı zamanda hafifletme sorumluluğunu da üstlenebilirler. API tabanlı saldırılar Potansiyel saldırı vektörlerini belirlemek için düzenli tehdit modelleme çalışmaları yürüterek, kimlik avı saldırılarında API’lerin nasıl kötüye kullanılabileceğini anlayarak. Araştırmacılara göre, saldırganların API’nin kötüye kullanılması durumunda ölçeklenmesini önlemek için belirli API uç noktalarına hız sınırları da uygulayabilirler.
Son gelişmeleri kaçırmayın Dark Reading Gizli podcast’i, NIST’in kuantum sonrası kriptografi standartları ve siber güvenlik uygulayıcıları için sırada ne olacağı hakkında konuştuğumuz yer. General Dynamics Bilgi Teknolojisi (GDIT) ve Carnegie Mellon Üniversitesi’nden konuklar her şeyi ayrıntılı olarak anlatıyor. Şimdi dinle!