Les auteurs de menaces abusent de l’API Docusign Envelope pour créer et distribuer en masse de fausses factures qui semblent authentiques, se faisant passer pour des marques bien connues comme Norton et PayPal.
En utilisant un service légitime, les attaquants contournent les protections de sécurité des e-mails car ils proviennent d’un domaine DocuSign réel, docusign.net.
L’objectif est que leurs cibles signent électroniquement les documents, qu’elles peuvent ensuite utiliser pour autoriser les paiements indépendamment des services de facturation de l’entreprise.
Envoi de demandes de signature réalistes
DocuSign est une plateforme de signature électronique qui permet de signer, d’envoyer et de gérer numériquement des documents.
L’API Enveloppes est un composant essentiel de l’API REST de signature électronique de DocuSign, permettant aux développeurs de créer, d’envoyer et de gérer des conteneurs de documents (enveloppes) qui définissent le processus de signature.
L’API est destinée à aider les clients à automatiser l’envoi de documents nécessitant une signature, à suivre leur statut et à les récupérer une fois signés.
Selon les chercheurs en sécurité d’Alarm, les auteurs de menaces utilisant des comptes DocuSign payants légitimes abusent de cette API pour envoyer de fausses factures qui imitent l’apparence et la convivialité de sociétés de logiciels réputées.
Ces utilisateurs bénéficient d’un accès complet aux modèles de la plate-forme, ce qui leur permet de concevoir des documents qui ressemblent à la marque et à la mise en page de l’entité usurpée.
Ensuite, ils utilisent la fonction API « Enveloppes: créer » pour générer et envoyer un volume élevé de factures frauduleuses à de nombreuses victimes potentielles.
Wallarm affirme que les frais présentés dans ces factures sont maintenus dans une fourchette réaliste pour accroître le sentiment de légitimité de la demande de signature.
« Si les utilisateurs signent électroniquement ce document, l’attaquant peut utiliser le document signé pour demander un paiement à l’organisation en dehors de DocuSign ou envoyer le document signé via DocuSign au service financier pour paiement », explique Wallarm.
« D’autres tentatives ont inclus différentes factures avec des éléments différents, suivant généralement le même schéma d’obtention de signatures pour les factures qui autorisent ensuite le paiement sur les comptes bancaires des attaquants. »
Abus à grande échelle de DocuSign
Wallarm note que ce type d’abus, qu’il a signalé à DocuSign, existe depuis un certain temps maintenant et que les clients ont signalé les campagnes à plusieurs reprises sur les forums communautaires de la plateforme.
« Je reçois soudainement 3 à 5 courriels de phishing par semaine de la part du docusign.net domaine et aucune des adresses e-mail de signalement standard comme abuse@ ou admin@ work », a posté un client sur les forums DocuSign.
« Ils rejettent mon e-mail et je ne trouve aucune information de signalement sur leur page FAQ. Je suppose qu’il me reste le choix de bloquer le domaine? »
Les attaques semblent automatisées plutôt que des tentatives manuelles à faible volume, de sorte que l’abus se produit à grande échelle et devrait être difficile à manquer pour la plate-forme.
Breachtrace a contacté DocuSign pour lui demander quelles étaient ses mesures anti-abus et s’il envisageait de les améliorer par rapport à l’activité signalée, mais aucun commentaire n’était immédiatement disponible.
Malheureusement, les points de terminaison d’API sont difficiles à sécuriser lorsque les auteurs de menaces créent des comptes commerciaux permettant d’accéder à ces fonctionnalités.
Quelques exemples récents de la façon dont les pirates ont abusé des API dans le passé incluent la vérification des numéros de téléphone de millions d’utilisateurs Authy, le grattage des informations de 49 millions de clients Dell et la liaison des adresses e-mail à 15 millions de comptes Trello.