Correos electrónicos de phishing atrapados explotando DocuSign y COVID-19


Un nuevo ataque descubierto por Irregular Stability tiene como objetivo robar credenciales de cuenta de personas que usan la plataforma de firma de documentos en línea.

Los correos electrónicos de phishing generalmente intentan atrapar a sus víctimas haciéndose pasar por compañías, marcas, productos y otros artículos conocidos que utilizan muchas personas. Si los correos electrónicos pueden hacer referencia a un tema de interés o preocupación para los destinatarios, mucho mejor. DocuSign es una herramienta segura de firma electrónica utilizada por muchas organizaciones para facilitar y agilizar el proceso de obtención de firmas en documentos comerciales importantes. La cuarentena de coronavirus ha obligado a más personas a trabajar de forma remota, por lo que un servicio como DocuSign tiene una demanda mucho mayor de lo habitual.

Una nueva campaña de phishing analizada por Abnormal Stability muestra cómo los ciberdelincuentes están explotando DocuSign, el coronavirus y la transición al trabajo remoto para tratar de capturar las credenciales de la cuenta. en un publicación de blog publicada el viernes, Seguridad anormal explicó cómo funciona esta campaña.

VER: Más de 100 consejos para teletrabajadores y gerentes (PDF gratuito) (TechRepublic)

El correo electrónico de phishing en sí mismo intenta parecer legítimo copiando el contenido y las imágenes de correos electrónicos reales de DocuSign. El atacante aprovecha la ansiedad true por el coronavirus haciendo referencia al remitente y al asunto del mensaje como «CU # COVID19 Documentos electrónicos». El botón en el mensaje simplemente dice: «Revisar documentos» con indicaciones de que estos documentos son para acuerdos de miembros, solicitudes de salud y autorizaciones de pago de salud.

La URL del sitio de phishing está oculta en el texto del cuerpo del correo electrónico a través de un Enlace SendGrid. Con la URL oculta, el destinatario del mensaje debe hacer clic en el botón serious para averiguar a dónde va el enlace. El correo electrónico en realidad contiene varios enlaces incrustados, algunos de los cuales conducen a páginas website auténticas de DocuSign para darle mayor legitimidad.

docusign-covid-phishing-email-anormal-security.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/05/08/b3978906-05ec-4f89-9b89-e1264378354f/resize /770x/0ffd64639176f6448842dd62f4ded6ab/docusign-covid-phishing-email-abnormal-security.jpg

Imagen: Seguridad anormal

Al hacer clic en el botón para revisar los documentos, se redirige al usuario varias veces, primero a través del enlace SendGrid y luego a través de dos sitios web comprometidos. Estas redirecciones se crean específicamente para confundir al usuario y superar la seguridad de detección de URL. Al closing, la página que aparece es maliciosa e intenta capturar las credenciales de DocuSign y las direcciones de correo electrónico de la empresa. Las personas que caen en la trampa y proporcionan la información necesaria verán sus credenciales de cuenta comprometidas y robadas.

«Curiosamente, la página de inicio de sesión falsa proporciona a los usuarios un menú desplegable para seleccionar su proveedor de correo electrónico al iniciar sesión», dijo Ken Liao, vicepresidente de estrategia de ciberseguridad para Seguridad anormal, «lo que implica que los atacantes están mucho más interesados ​​en robar esa información de inicio de sesión como les permite comprometer aún más las cuentas de la víctima a través del inicio de sesión único o el acceso al correo electrónico.

Desde que se ha propagado el coronavirus, los cibercriminales han estado dispuestos a explotar la pandemia para sus propios fines. Según Liao, simplemente modifican y actualizan sus correos electrónicos maliciosos con eventos actuales para mantenerlos relevantes para sus víctimas. Esta campaña específica de phishing de DocuSign se notó por primera vez a principios de mayo. Hasta ahora, Seguridad anormal ha descubierto este ataque dirigido solo a uno de sus clientes, específicamente a una compañía de atención médica. Pero Liao dijo que espera ver más ataques de robo de credenciales utilizando DocuSign y COVID-19.

¿Cómo pueden protegerse las organizaciones y los individuos contra este tipo de ataques de phishing?

«El consejo número uno que tenemos para las empresas y los empleados es estar siempre atentos», dijo Liao. «Los ataques son cada vez más sofisticados en sus intentos de robar credenciales de usuario y acceder a información confidencial».

Los usuarios siempre deben examinar este tipo de correos electrónicos para buscar señales de que algo está mal.

«En este caso particular, el atacante oculta los enlaces maliciosos a través de SendGrid, un servicio de promoting por correo electrónico que permite a las empresas y a las personas enviar correos electrónicos en masa», dijo Liao. «No esperaríamos que una compañía como DocuSign use enlaces SendGrid en lugar de vincular directamente su propio sitio cuando le pida a un usuario que firme documentos. Además, siempre verifique el nombre del sitio website antes de iniciar sesión. Nuevamente, en este caso podemos notar fácilmente que la página de inicio de sesión a la que dirigió este ataque claramente no es una página legítima «.

Ver también

Botón PHISHING en el teclado de la computadora "src =" https://tr4.cbsistatic.com/hub/i/r/2020/03/26/c856d292-af76-4dda-a5af-b9ec79dc2300/resize/770x/7f3e8f2b2d1b6ef936cd9587f8c6ad4c/istock-1136 .jpg

Imagen: Getty Images / iStockphoto



Enlace a la noticia initial