Phishing: invasores usam software de assinatura eletrônica para enviar e-mails com links maliciosos

Rahim Kaba, 17 de Novembro de 2021

Assinar contratos eletronicamente economiza tempo e torna mais fácil para as empresas fechar contratos de vendas, abrir contas bancárias e solicitar seguro sem a necessidade de se encontrarem pessoalmente. Mas alguns serviços de assinatura eletrônica também podem apresentar riscos inesperados.

Vários grupos de cibersegurança e especialistas emitiram avisos nos últimos meses sobre golpes de assinatura eletrônica e tentativas de phishing usando o DocuSign para assinar documentos eletronicamente. De acordo com as últimas notícias da Inteligência de Segurança em um artigo intitulado Phishing: invasores usam DocuSign para enviar links maliciosos , o mais novo ataque envolve cibercriminosos que se cadastram para obter uma conta gratuita do DocuSign ou assumem o controle da conta de outra pessoa e carregam um arquivo malicioso que então se disfarça como um envelope legítimo do DocuSign.   

Se esses tipos de técnicas de falsificação chegarem aos clientes finais, isso pode levar a downloads de malware (como ransomware) e hackers explorando a identidade e as informações pessoais dos clientes.

Neste blog, revisamos a estratégia por trás dos golpes de phishing e como um solução de assinatura eletrônica preocupada com a segurança pode ajudar a prevenir esses tipos de ataques.

Por que os cibercriminosos usam os golpes de phishing da DocuSign

O aumento dos golpes de phishing está relacionado ao aumento do uso de assinaturas eletrônicas para oferecer suporte a ambientes de trabalho remotos criados pela pandemia COVID-19. Os golpistas lançam ataques de phishing projetados para imitar e-mails de marcas reconhecidas, como DocuSign. Provedores de software como DocuSign estão sob constante ataque de golpistas ( 2017 , 2018 , 2019 , 2020 , 2021 ), que enviam emails falsos do serviço de assinatura eletrônica do fornecedor. DocuSign é um alvo principal para ataques de phishing volumosos e maliciosos devido ao uso generalizado de sua marca em seu serviço de assinatura eletrônica e notificações por e-mail.

O phishing continua a ser um dos esquemas de engenharia social mais comuns e bem-sucedidos em todo o mundo, sem sinais de desaceleração. O phishing induz as pessoas a clicar em links maliciosos para baixar malware ou fornecer informações confidenciais a criminosos. O aumento de ataques de falsificação de identidade de serviço da web, um tipo de ataque de phishing que usa uma marca reconhecida envolve sites e e-mails falsos que levam as pessoas a fazer login e, sem saber, fornecer suas credenciais aos criminosos. Com as credenciais roubadas, os hackers podem fazer login em outros serviços. Como as pessoas têm o hábito de reutilizar as mesmas credenciais de login em muitas contas online, os malfeitores podem executar um programa automatizado para testar as credenciais em qualquer número de serviços da web e, quando for bem-sucedido, usá-las para se fazer passar pela vítima e roubar fundos ou informações.

Golpistas e phishers são oportunistas e se adaptam aos eventos atuais e às atividades de negócios sazonais, desde e-mails de phishing coronavirus para golpes de imposto de renda . Uma tática é mascarar o malware com algo tão rotineiro como uma fatura ou aviso de envio. De acordo com um Relatório de Ameaça da eSentire Threat Intelligence, ter as credenciais do Facebook comprometidas afetará sua vida pessoal mais do que qualquer outra coisa; mas “o roubo de credenciais do DocuSign ou do Dropbox pode ter um sério impacto nos negócios”. Quando as credenciais são reutilizadas para várias contas em uma organização, o comprometimento dessas credenciais pode ter implicações ainda mais graves.

Por dentro de um esquema de phishing de assinatura eletrônica

Esta é a aparência de uma campanha de phishing típica. Um invasor envia um “envelope” de assinatura eletrônica ao alvo. O destinatário recebe um e-mail convidando-o a revisar e assinar um documento. Em circunstâncias normais, o destinatário simplesmente clica no link “revisar documento” e assina o documento por e-mail. Em um ataque de phishing, no entanto, o e-mail contém links para um site (site de phishing) que solicitaria ao destinatário a inserção de informações pessoais e financeiras ou um link para um documento malicioso que, se executado, baixaria malware no computador do destinatário. Se o destinatário cair no esquema, o invasor poderá usar essas informações para acessar sua conta bancária, portais de cartão de crédito e outros serviços online.

4 maneiras de se defender contra ataques de phishing de assinatura eletrônica

1. Proteja sua marca e clientes contra e-mails de phishing

O modelo de negócios da DocuSign depende de um impulso de marca da DocuSign usando e-mails de notificação de assinatura eletrônica que coloca seus clientes e seus clientes finais em risco de ataques maliciosos, como golpes de phishing relatados. É por isso que é importante escolher uma solução que permita à sua organização rotular totalmente a experiência de assinatura para que sua marca esteja sempre à frente e no centro.

A rotulagem em branco é a coisa nº 1 que você pode fazer para proteger sua marca, construir a confiança de seus signatários e atingir as mais altas taxas de conclusão. A crescente conscientização sobre táticas fraudulentas de phishing - bem como o aumento de programas que educam as pessoas sobre segurança de e-mail - dissuadirá os destinatários de confiar em e-mails de marcas de terceiros. Se alguém estiver esperando um convite de assinatura eletrônica de seu banco ou seguradora, é provável que exclua mais rapidamente esse convite por e-mail se ele vier do domínio de e-mail de um provedor de serviços.

É por isso que é tão importante marcar totalmente a aparência das notificações de e-mail e integrar o serviço de assinatura eletrônica com seus servidores de e-mail para permitir que os e-mails sejam enviados de seu domínio (por exemplo,@yourbank .com) em vez do domínio do serviço de assinatura eletrônica. Na OneSpan, adotamos essa filosofia e é um dos principais motivos pelos quais nossa solução OneSpan Sign tem a confiança de algumas das marcas mais preocupadas com a segurança do mundo.

Dicas de rotulagem em branco para ajudar a prevenir ataques de phishing:

  • Integre a ferramenta de assinatura eletrônica com seus próprios servidores de e-mail para permitir que e-mails sejam enviados de seu domínio (por exemplo,@yourbank .com)
  • Personalizar o conteúdo e o visual das notificações por e-mail
  • Personalize as cores, o logotipo e a visibilidade de elementos como cabeçalhos, barras de navegação, rodapés, etc.
  • Personalizar caixas de diálogo e mensagens de erro

etiqueta branca

2. Adicione autenticação aprimorada para acesso seguro aos seus contratos

Além da etiqueta branca, as empresas nunca devem ignorar medidas de segurança, como verificação de identidade e autenticação. De acordo com Microsoft , a autenticação multifator pode “prevenir 99,9% dos ataques às suas contas” e é uma das principais formas pelas quais as equipes de segurança e especialistas se protegem online. Quando se trata de phishing, o uso de métodos de autenticação fortes é um impedimento mais poderoso do que a autenticação de e-mail de fator único sozinha.

OneSpan Sign oferece uma variedade de Verificação de identidade e autenticação opções para proteger seus contratos de alto valor, para que você possa obter documentos assinados eletronicamente com confiança. Você tem flexibilidade para escolher o nível de segurança de que precisa. Ajudamos a garantir que seus contratos sejam acessados com segurança e assinados apenas pelos indivíduos aos quais se destinam, com opções que incluem SMS, perguntas e respostas, autenticação baseada em conhecimento (KBA) e verificação de documentos de identidade do governo.

3. Achatar documentos para combater ataques de sobreposição

Outro tipo de ataque que vale a pena mencionar é um “Ataque de sombra” . Os ataques de sombra envolvem fraudadores que preparam um documento PDF malicioso com conteúdo invisível. Esse tipo de ataque normalmente explora vulnerabilidades em visualizadores de PDF e como o conteúdo é exibido em documentos antes de serem assinados. Isso prejudica a segurança do processo de acordo digital.

Os PDFs geralmente contêm várias camadas com conteúdo diferente em cada uma. “Achatar” um documento carregado antes de enviá-lo para assinatura é um método para deter essa ameaça. OneSpan Sign, por exemplo, remove qualquer conteúdo dinâmico do documento antes de ser processado e um contrato pronto para assinatura é preparado para assinatura. Como resultado, qualquer campo de formulário usado como veículo para substituir o conteúdo por meio de um link de sobreposição é removido do documento e o ataque é neutralizado automaticamente. Esta é uma camada adicional de segurança em nossa abordagem que ajuda a proteger a confiabilidade das assinaturas eletrônicas enquanto preserva uma experiência de assinatura perfeita.

4. Eduque os funcionários sobre como identificar um e-mail de phishing

Conscientize seus funcionários de que os golpistas estão cada vez mais enviando links de phishing por meio de e-mails que parecem vir do DocuSign. Informe que há dois sinais de alerta principais de que a solicitação de assinatura eletrônica é uma farsa:

  • Eles não esperam que nenhum documento seja assinado. Se um parceiro de negócios deseja que um de seus funcionários assine um acordo, é prática comum entrar em contato com o funcionário primeiro e informá-lo de que uma solicitação de assinatura está a caminho. Se um funcionário não estiver esperando a solicitação de assinatura de um documento, aconselhe-o a denunciar o e-mail como um esquema de phishing e excluí-lo. Eles não devem clicar em hiperlinks ou anexos.
  • Eles notam um remetente ou domínio de e-mail incomum. Se um funcionário receber uma solicitação de assinatura eletrônica inesperada, ele deve sempre verificar o domínio de e-mail do remetente. Se o e-mail não vier do domínio de um parceiro de negócios legítimo, provavelmente é um golpe.

Além disso, esteja ciente de que erros de digitação, ortografia e gramática na linha de assunto ou no corpo do e-mail também são indicadores comuns de que o e-mail pode ser um golpe de phishing. Os emails de phishing também podem usar saudações genéricas, uma vez que são freqüentemente usados repetidamente ou enviados em massa para uma lista de vítimas inocentes.

Construindo confiança digital com funcionários e clientes

A pandemia e a mudança de paradigma para um estilo de vida remoto provam o quão vital assinaturas eletrônicas e digitais são para nossas vidas, mas um risco crescente de fraude acompanha o aumento do uso de tecnologias e canais digitais. É provável que alguns de seus funcionários e clientes sejam enganados para clicar em solicitações de assinatura eletrônica aparentemente legítimas, inserir suas credenciais de e-mail e entregá-las aos malfeitores.

Problemas em torno de ataques de phishing de assinatura eletrônica são um excelente exemplo da importância de proteger seus processos de contrato digital. Em todas as áreas de nosso negócio, a OneSpan está focada em possibilitar acordos digitais seguros e experiências do cliente. Revise os recursos de sua solução de assinatura eletrônica para garantir que incluam contramedidas como rotulagem em branco, opções de autenticação fortes e nivelamento de documentos para garantir que seus signatários estejam protegidos contra golpes evitáveis de phishing de assinatura eletrônica.

Seguro de carro de estudo de caso
Estudo de caso

Taxas de conclusão 23% mais altas

Dentro de 30 dias após a substituição da DocuSign como seu provedor de e-sign, esta seguradora viu um aumento de 23% nas taxas de conclusão de aplicativos. O motivo: uma experiência totalmente rotulada em branco.

consulte Mais informação

Rahim Kaba é um líder em tecnologia digital apaixonado e voltado para os resultados que desempenhou um papel fundamental no avanço das iniciativas de digitalização em organizações em todo o mundo.