Los cibercriminales están abusando de una API de Docusign en una innovadora
campaña de phishing a gran escala para enviar facturas falsas a usuarios
corporativos.
Los documentos parecen auténticos y probablemente no activarían las defensas
de seguridad típicas ni despertarían sospechas en los usuarios, como podrían
hacerlo muchas estafas similares.
En los últimos cinco meses, los informes de usuarios sobre este tipo de
campañas maliciosas han aumentado notablemente y los foros de la comunidad de
DocuSign han visto un aumento en las discusiones sobre actividades
fraudulentas.
Este hilo es un ejemplo.
Investigadores de la empresa de seguridad
Wallarm dicen
que la campaña para engañar a las organizaciones, observada durante los
últimos meses, implica que los atacantes creen una cuenta legítima y paga de
Docusign utilizando el software que les permite cambiar las plantillas y
utilizar la API directamente.
Los atacantes están aprovechando el «entorno compatible con API» de Docusign,
que si bien es beneficioso para las empresas, también «proporciona
inadvertidamente una forma para que los actores maliciosos escalen sus
operaciones.
Específicamente, los investigadores observaron un abuso de
«Envelopes: create API»
de Docusign para enviar un volumen significativo de correos electrónicos
automatizados a múltiples usuarios y destinatarios directamente desde la
plataforma. Los mensajes utilizan plantillas especialmente diseñadas que
«imitan solicitudes de firma electrónica de documentos de marcas
conocidas».
Las facturas falsas empleadas en la campaña también aprovechan otras tácticas
para dar autenticidad a la estafa. Estas incluyen ofrecer precios precisos
para los productos de una empresa; la adición de los tipos de cargos
esperados, como una tarifa de activación; la inclusión de instrucciones de
transferencia directa u órdenes de compra; y el envío de diferentes facturas
con diferentes artículos.
En definitiva, si un usuario firma electrónicamente el documento, un actor de
amenazas puede usarlo para solicitar el pago a organizaciones ajenas a
Docusign o enviar el documento firmado a través de Docusign al departamento de
finanzas para obtener una compensación, cometiendo así un fraude.
El vector de ataque puede no limitarse a Docusign, advirtieron los
investigadores de Wallarm; otros servicios de firma electrónica y documentos
podrían ser igualmente vulnerables a tácticas de explotación similares.
Estafa con facturas falsas
Las facturas falsas suelen ser parte de estafas de phishing con motivaciones
económicas, y Docusign, que ofrece un software enormemente popular para firmas
digitales con más de 1,5 millones de clientes que pagan y mil millones de
usuarios en todo el mundo, suele ser un objetivo para los phishers. Sin
embargo, un ataque basado en API puede ser potencialmente más eficaz que las
estafas que simplemente utilizan el reconocimiento de nombres o se hacen pasar
por la marca.
La principal de ellas es que, dado que los correos electrónicos provienen
directamente de Docusign,
«parecen legítimos para los servicios de correo electrónico y los filtros
de spam/phishing. No hay enlaces ni archivos adjuntos maliciosos; el peligro
reside en la autenticidad de la solicitud en sí».
De hecho, debido a que el ataque utiliza un exploit de API, probablemente no
habrá muchas señales que sean fáciles de detectar, como en un correo
electrónico falsificado. La popularidad de Docusign convierte al servicio en
un gran objetivo para este tipo de ataque a gran escala debido al potencial de
automatización mediante el aprovechamiento de la API, afirma. La gente confía
en las marcas que reconoce, especialmente las que se utilizan a menudo en
funciones legales u otras funciones oficiales.
Las organizaciones siempre deben verificar la dirección de correo
electrónico del remitente y las cuentas asociadas para verificar su
legitimidad, así como también implementar procedimientos internos estrictos
para aprobar compras y transacciones financieras que involucren a varios
miembros del equipo, si es posible.
«Resulta fascinante ver lo sofisticados que se han vuelto los
cibercriminales, que aprovechan herramientas legítimas como Docusign para
crear ataques de phishing realistas», afirma Randolph Barr, CISO de Cequence. Esto pone de relieve la importancia
de verificar la fuente de cualquier solicitud de firma de documentos, incluso
si parece proceder de una fuente fiable. Las organizaciones deben hacer
hincapié en la importancia de hacer una pausa y verificar antes de tomar
cualquier medida, incluso si parece urgente. Además, los equipos de TI y
seguridad deben mantenerse informados sobre los últimos métodos y técnicas de
ataque para proteger eficazmente a sus organizaciones.
Vigilar de cerca las facturas o solicitudes inesperadas, especialmente las
que incluyen cargos o tarifas inusuales, también puede ayudar a las
organizaciones a evitar pagar a los delincuentes en lugar de a las entidades
legítimas.
Para las organizaciones:
-
Verificación de las credenciales del remitente: siempre verifique dos veces
la dirección de correo electrónico del remitente y las cuentas asociadas
para comprobar su legitimidad. -
Exigir aprobaciones internas: implementar procedimientos internos estrictos
para aprobar compras y transacciones financieras, involucrando a varios
miembros del equipo cuando sea posible. -
Realizar capacitaciones de concientización: educar a los empleados sobre
este nuevo tipo de amenaza, destacando la importancia del escepticismo
incluso cuando las comunicaciones parezcan legítimas. -
Monitoreo de anomalías: estar atento a las facturas o solicitudes
inesperadas, especialmente aquellas que incluyen cargos o tarifas inusuales.
Incluso los apellidos que comienzan con minúscula deberían generar atención. -
Seguir los consejos de DocuSign: DocuSign brinda orientación sobre
cómo evitar el phishing.
Los proveedores de servicios también pueden asumir la responsabilidad de
mitigar los ataques basados en API al comprender cómo se pueden abusar de
las API en los ataques de phishing.
Para proveedores de servicios:
-
Realizar modelado de amenazas: comprender dónde se pueden abusar de sus API
es fundamental para implementar controles de seguridad efectivos. Realice
ejercicios de modelado de amenazas con regularidad para identificar posibles
puntos de abuso. -
Implementar la tasa de consumo de API: la limitación del consumo
(rate-limit) no es un control nuevo, pero aplicarla a puntos finales
de API específicos brinda una capacidad más sofisticada de bloqueos. Si se
entiende cómo se utilizan las API, se pueden implementar límites de consumo
más inteligentes para evitar que los atacantes escalen. -
Detección del abuso de API: el
abuso de API
es difícil de detectar, pero existen herramientas que pueden perfilar el
comportamiento de sus API e identificar actividades anómalas.
Fuente:
Dark Reading
Los comentarios están cerrados.