Phishing
Gefälschte DocuSign-Dokumente
Die Möglichkeit, Dokumente elektronisch zu signieren, vereinfacht Geschäftsprozesse deutlich. Gleichzeitig stellen solche Prozesse jedoch auch Angriffsvektoren für Cyberkriminelle dar, wie aktuelle Warnungen zeigen. Was kann man dagegen tun?
Save to Folio
Derzeit warnen Berichte vor Fällen, bei denen eine Schnittstelle des Anbieters für elektronische Signaturen in digitalen Verträgen DocuSign missbraucht wird. Die Kriminellen nutzen dafür legitime und kostenpflichtige DocuSign-Konten, die ihnen die Gestaltung eigener Vorlagen und die Nutzung von APIs ermöglichen. Von diesen Konten senden sie eigens erstellte Dokumente mit Anfragen zur elektronischen Signierung, wobei sie sich als bekannte Unternehmen, meist Softwarehersteller, ausgeben.
Dabei handelt es sich beispielsweise um gefälschte Rechnungen, die der Empfänger unterzeichnen soll, um die Verlängerung einer Software-Lizenz zu bestätigen. Diese gefälschten Rechnungen enthalten realistische Preise für die Produkte, um sie authentisch erscheinen zu lassen, sowie zusätzliche Gebühren. Wenn Benutzer diese Dokumente elektronisch signieren, können die Angreifer diese nutzen, um außerhalb von DocuSign eine Bezahlung vom Unternehmen anzufordern oder das signierte Dokument über DocuSign an die Finanzabteilung zur Zahlung zu senden.
Da die Rechnungen direkt über die DocuSign-Plattform gesendet werden, sehen sie für die E-Mail-Dienste und Security-Filter legitim aus. Es gibt keine bösartigen Links oder Anhänge. Vielmehr liegt die Gefahr in der Authentizität der Anfrage selbst. Die Schnittstelle von DocuSign ermöglicht den Angreifern zudem, den Prozess weitgehend zu automatisieren und zu skalieren. So senken sie ihren Aufwand und vergrößern ihren Profit.
Phishing durch gefälschte Signierung
Typische Phishing-Angriffe bestehen oft aus gefälschten E-Mails, die vertrauenswürdige Marken imitieren und die Opfer dazu verleiten, auf bösartige Links zu klicken oder vertrauliche Informationen preiszugeben. E-Mail-Filter werden immer besser darin, diese Taktiken für Benutzer zu erkennen. Angreifer reagieren darauf und senden bösartige E-Mails immer häufiger über eigentlich vertrauenswürdige Dienste. Dies macht es viel schwieriger, sie als bösartig zu erkennen.
Was zu tun ist, damit das Risiko überschaubar bleibt?
- Seien Sie – wie immer und nun speziell, wenn DocuSign angegeben ist – skeptisch! Selbst wenn eine Mail über einen seriösen Dienst verschickt wird, garantiert dies noch keine Sicherheit. Überprüfen Sie stets die Absender-Adresse, die angegebene Antwortadresse (“Reply to”) und andere Accounts auf ihre Authentizität und fragen Sie im Zweifelsfall nach!
- Achten Sie auf unerwartete Rechnungen oder Anfragen, insbesondere auf solche, die ungewöhnliche Kosten oder Gebühren enthalten. Alle Einkäufe und Finanztransaktionen sollten zudem stets nach einem Mehraugenprinzip geprüft und freigegeben werden.
DocuSign bietet hier zudem weitere Schutzhinweise und Möglichkeiten, Missbrauch zu melden.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.