Essai gratuit

Des cybercriminels exploitent Docusign pour cibler les entreprises qui traitent avec le gouvernement américain

eSignature
Ralitsa Miteva,
docusign phishing emails

L'hameçonnage est depuis longtemps une proie pour la confiance, et les attaques récentes montrent à quel point ces stratagèmes sont devenus sophistiqués.

En fait, le phishing est désormais souvent automatisé et exécuté à grande échelle, ce qui fait de Docusign une cible attrayante pour les cybercriminels. Les grandes organisations et les bases de données sont des cibles particulièrement attrayantes car un seul modèle d'hameçonnage peut rapporter gros.

Considérez, par exemple, que du 8 au 14 novembre 2024, les chercheurs en cybersécurité de SlashNext ont rapporté une augmentation stupéfiante de 98 % des URL de phishing de Docusign par rapport aux deux mois précédents. Au cours de cette semaine, les attaquants ont exploité des comptes et des API Docusign légitimes pour créer des documents convaincants capables d'échapper aux mesures de sécurité traditionnelles des courriels.

Ces attaques sont particulièrement dangereuses pour les entreprises et les vendeurs qui travaillent avec les agences gouvernementales des États, des municipalités et qui délivrent des licences. En se faisant passer pour des entités gouvernementales de confiance, les cybercriminels peuvent inciter les entreprises à signer des documents frauduleux ou à effectuer des paiements non autorisés.

Selon SlashNext, diverses organisations gouvernementales, dont le ministère de la santé et des services sociaux, le ministère des transports du Maryland, le portail électronique des fournisseurs de l'État de Caroline du Nord, ainsi que les commissions d'octroi de licences ou les organismes municipaux de villes telles que Milwaukee, Charlotte et Houston, ont fait l'objet d'une usurpation d'identité.

Comment fonctionne l'usurpation d'identité par hameçonnage ?

Une attaque typique d'usurpation d'identité par hameçonnage commence lorsqu'un fournisseur reçoit un courriel qui ressemble à une demande légitime de signature électronique de la part d'une organisation gouvernementale. Pour rendre la demande aussi convaincante que possible, les attaquants s'appuient sur des comptes Docusign légitimes et des API pour reproduire des modèles d'apparence officielle.

Les courriels frauduleux de Docusign ciblent les fournisseurs qui interagissent fréquemment avec des agences gouvernementales et qui opèrent dans des secteurs où le temps est compté. Le sentiment d'urgence est généralement un signal d'alarme en matière d'ingénierie sociale, mais dans ce cas, les destinataires n'y prêtent pas attention parce que c'est ce qui est attendu dans leur secteur d'activité.

"Les utilisateurs sont dupés par cette attaque parce qu'ils font confiance à la marque Docusign", explique Will LaSala, directeur technique de OneSpan. "Les attaques de ce type sont plus efficaces lorsque les demandes de signature électronique proviennent d'un domaine docusign.com et dirigent les utilisateurs vers un site web légitime de Docusign pour la signature. Les attaquants exploitent cette confiance en créant des transactions personnalisées et des modèles d'e-mails qui imitent les communications légitimes de Docusign, piégeant ainsi les utilisateurs qui ne se doutent de rien."

Les attaquants utilisent des écrans qui semblent identiques à ceux avec lesquels les utilisateurs interagissent normalement, ce qui ajoute à la tromperie. Cela devient particulièrement problématique lorsque les entreprises s'appuient sur des plateformes externes pour communiquer avec leurs clients, plutôt que d'utiliser leurs propres domaines ou systèmes de courrier électronique."

En résumé, plusieurs éléments jouent un rôle dans le succès de ces attaques.

Tout d'abord, les criminels utilisent des techniques d'usurpation d'identité qui s'appuient sur les comptes et les API de Docusign, ce qui rend les courriels de phishing pratiquement impossibles à distinguer des courriels authentiques. Ils emploient également un jargon et une phraséologie propres à l'industrie pour renforcer leur crédibilité. En d'autres termes, le courriel ne se contente pas d'avoir l'air vrai, il a aussi l'air vrai.

Deuxièmement, les attaquants recherchent et planifient leurs tentatives d'hameçonnage pour les faire coïncider avec des échéances spécifiques à l'industrie, telles que les renouvellements de licences ou les soumissions de contrats.

Troisièmement, comme leurs courriels proviennent de la plateforme de Docusign, ils contournent souvent les systèmes traditionnels de sécurité des courriels.

"L'un des aspects les plus préoccupants est l'utilisation par les attaquants d'API pour envoyer des courriels en masse. Alors que de nombreux destinataires reconnaissent qu'il s'agit de spam, ceux qui travaillent déjà avec la marque usurpée sont plus susceptibles d'en être victimes et de baisser leur garde", ajoute M. LaSala.

Comment les entreprises peuvent-elles se protéger ?

Les entreprises peuvent atténuer les risques en mettant en œuvre des mesures de sécurité solides. Il s'agit notamment de

  1. 1. Investir dans la formation des employés : Apprenez à vos employés à reconnaître les tentatives d'hameçonnage et à faire preuve d'un scepticisme de bon aloi face à des demandes urgentes inattendues, en particulier pendant les périodes de renouvellement ou d'autres périodes sensibles de l'année.
  2. 2. Soyez attentifs aux signaux d'alarme : Soyez attentif aux instructions d'acheminement des paiements suspectes, aux demandes de contrats urgents et aux exigences de documentation atypiques.
  3. 3. Vérifiez les URL et les domaines de courrier électronique : Confirmez que vous communiquez avec des domaines légitimes.
  4. 4. Vérifiez les demandes : Confirmez toujours l'authenticité des demandes de signature électronique par les voies officielles. Si vous ne vous attendez pas à recevoir une demande de signature électronique de la part de l'entité gouvernementale avec laquelle vous travaillez sur un projet, appelez directement votre personne de contact pour vérifier que la demande est exacte.
  5. 5. Améliorez les filtres de courrier électronique : Utilisez des outils avancés capables d'identifier des schémas suspects, même dans des courriels d'apparence légitime.
  6. 6. Sécurisez les API : Renforcez la sécurité des API en mettant en œuvre les meilleures pratiques pour protéger les API utilisées par vos applications. Cela permet d'éviter les abus de la part d'attaquants extérieurs. Utilisez des technologies telles que le cryptage, la limitation du débit, la validation et l'assainissement des données et des entrées, ainsi qu'une journalisation appropriée.
  7. 7. Utilisez une solution de signature électronique en marque blanche : Votre propre marque est votre meilleure défense. Les employés et les clients reconnaissent votre marque et sont plus susceptibles de remarquer si quelqu'un essaie d'usurper votre marque que les fournisseurs de logiciels de signature électronique tiers.
  8. 8. Renforcez la sécurité des transactions répétées : Les transactions sensibles et fréquemment répétées, telles que les factures, les approbations ou les documents contenant des informations personnelles identifiables (PII), doivent faire l'objet de mesures de sécurité supplémentaires telles que l'authentification avancée. Déployez des technologies d'authentification résistantes à l'hameçonnage, telles que les clés FIDO et la vérification de l'identité pour les transactions sensibles.

Selon LaSala, "les clés FIDO et la vérification de l'identité constituent une défense solide contre le phishing, en alertant les utilisateurs sur les problèmes potentiels avant qu'ils n'entament le processus de signature. Contrairement aux OTP par SMS non chiffrés ou aux questions de sécurité, qui peuvent être exploitées par ingénierie sociale, ces méthodes résistent aux tentatives d'hameçonnage"

Avec les clés de sécurité FIDO, les utilisateurs sont alertés en cas de tentative de création d'une nouvelle clé de sécurité. Cela peut se produire lors de la première inscription ou plus tard, lorsqu'ils ont déjà une clé et que l'on tente d'en créer une nouvelle (qu'ils l'aient fait eux-mêmes ou que ce soit quelqu'un d'autre).

Les clés FIDO sont liées à un site web ou à une application spécifique par le biais de la cryptographie à clé publique. Lorsqu'un utilisateur s'authentifie, la clé cryptographique est validée par rapport au domaine du site web ou de l'application. Même si un utilisateur est amené à visiter un faux site web, la clé ne fonctionnera pas car la paire de clés publique-privée ne correspondra pas au domaine d'hameçonnage.

Cela permet d'éviter que les informations d'identification ne soient utilisées sur des plateformes malveillantes. Les passkeys reposent sur la vérification biométrique (empreinte digitale ou balayage du visage) ou sur des codes PIN stockés en toute sécurité sur l'appareil. Ces facteurs ne sont jamais transmis, il n'y a pas d'informations partageables ou réutilisables qui pourraient être interceptées ou volées par des pirates.

Identifier les escroqueries par courriel de Docusign

L'utilisation sophistiquée de la marque Docusign dans des campagnes de phishing montre comment les cybercriminels exploitent des plateformes de confiance pour perturber les activités des entreprises. Cependant, les entreprises peuvent se défendre contre ces menaces grâce à une sensibilisation accrue, à des protocoles de vérification robustes et à une approche proactive de la sécurité.

liste de contrôle de la sécurité des signatures électroniques
Fiche technique

liste de contrôle de la sécurité de la signature électronique

Simplifiez votre évaluation de la signature électronique grâce à cette liste de contrôle sommaire. Elle contient plus de 20 exigences de sécurité à vérifier dans 6 catégories.

Télécharger maintenant
Ralitsa Miteva
Ralitsa Miteva

Ralitsa Miteva est responsable des solutions de détection et de prévention de la fraude chez OneSpan, où elle conseille les institutions financières et d'autres organisations sur l'évolution du paysage de la fraude et les aide à surmonter les nouveaux défis de la prévention lors de leur transformation numérique.

Contenu
Partager