釣魚電郵以Docusign電子簽署進行詐騙

騙徒使用的技倆層出不窮,近日就利用到假裝來自Docusign的假連結,要求收件者進行簽收,作為全球知名的電子簽署服務,收件者稍一不慎就很容易掉入陷阱,簽收到釣魚電郵一封。

Docusign模樣的網絡釣魚

攻擊由一封電郵開始,偽裝成合法的Docusign通知,在這個個案的例子中,攻擊者並沒有精心偽造或掩飾寄件者地址,因為由於服務的自訂選項,真正的Docusign電郵也可以來自任何地址,在大部份個案中,受害者被通知需要電子簽署一份文件 (通常與財務有關),不過電郵內文並沒有清楚表明其目的,也有一些個案攻擊者使用額外的技倆,通過電郵的PDF附件傳送QR code,數件者會被要求掃瞄QR code已存取需要簽署的文件,實際上QR code會把受害者帶到釣魚網站,此舉讓受害者不是在電腦上打開惡意連結,而是他們的智能手機,令釣魚網址更難偵測,而且可能沒有安裝保安軟件。

有時候電郵甚至完全不提及Docusign,有個案只在PDF附件內提到Docusign,有時犯罪份子會完全複製合法的Docusign電郵,電郵底部設有保安碼,也有個案攻擊者模仿Doclusign與Microsoft SharePoint的整合,當然也有懶惰的犯罪份子完全沒有合法電郵的偽裝,甚至Docusign的標誌也欠奉,釣魚電郵的策略和品質非常參差,不過背後的原理相同,倚賴受害者不懂Docusign電子簽署的做法。

大意的受害者一旦透過連結或QR code進入釣魚網頁,並輸入工作的登入憑證,資料會直接送到攻擊者手上,通常放到非法暗網市場上出售的資料庫內,並稍後用作攻擊相關機構。

電子簽署Docusign的真實做法

對一般用戶而言利用Docusign簽署文件的程序十分簡單,首先會收到要求簽署方的電郵,當中含有一個很大的黃色「Review Document」按鍵,點擊該按鍵便會透過唯一的連結把收件者導引到Docusign網站 (docusign.net域名),當中會有發送方留下的短訊,並有一個同樣顯眼的黃色「Continue」按鍵,而簽署文內是立即提供,無需輸入任何密碼,收件者只需要檢視它,或者在指定位置加一點詳細內容 (何如名稱、日期等),加入簽署然後點擊「Finish」按鍵便完成。

Docusign永遠不會做的

  • 發送含連結的PDF附件以取得簽署,Docusign的通知並不含附件,「Review Docusment」按鍵會直接跳到電郵內文。
  • 只有QR code的選項,Docusign能在流動裝置和電郵上使用,所以只會透過連結存取文件,不會使用QR code。
  • 要求輸入工作登入憑證,在簽署文件後,Docusign可能建議收件者創立帳號,但完全是自願性的選擇。

Docusign的整個目的是讓公司和個體盡量簡單地交換電子簽署的文件,任何額外的步驟或限制,例如創建帳號、輸入憑證、打開附件或限制只准智能手機進行簽署都違反了Docusign的原則,所以為求簽署過程越簡單和快速越好,Docusign並沒有要求以上幾項。

防範網絡釣魚

防範公司掉入偽裝Docusign或其他知名服務的網絡釣魚攻擊,可以考慮以下的考量:

  • 在gateway層級過濾可疑或不想收到的電郵
  • 透過保安方案在endpoint保護釣魚的導引
  • 為員工提供培訓,提升對網絡威脅的警覺。

資料來源:Kaspersky Blog