Alertan por phishing que simula ser de Docusign para robar credenciales

ESET advierte que los ciberdelincuentes utilizan notificaciones falsas de Docusign para engañar usuarios y robar sus datos personales o corporativos.

Foto: cortesía. Portal ERP México.

Hace unos años cada vez que se quería firmar y enviar un documento oficial se necesitaba imprimir, firmar, escanear, enviar por correo electrónico, e incluso por fax. Hoy, gran parte del trabajo lo hacen los proveedores de aplicaciones en la nube. Docusign, por ejemplo, afirma tener 1.7 millones de clientes en todo el mundo, y más de mil millones de usuarios. ESET advierte que como suele ocurrir con las marcas tecnológicas, una vez que alcanzan una masa crítica de usuarios, los ciberdelincuentes buscan formas de sacar provecho.

Por otro lado, la ingeniería social es una de las mayores amenazas y, según Verizon, el phishing es el vector de acceso inicial en el 19% de las violaciones de datos, y el 60% presenta una falla del "factor humano". Según señalan en ESET, Docusign, por ser una marca de confianza y reconocida, se convirtió en una elección natural para recopilar inicios de sesión corporativos y potencialmente monetizar los ataques.

Este engaño comienza cuando los usuarios (víctimas tentativas) reciben un correo electrónico con un "sobre, o envelope, en inglés" falso de Docusign en el que se les pide que hagan clic en un gran recuadro amarillo para revisar el documento, y también puede haber un archivo adjunto con un código QR. Ambas acciones pueden conducir al mismo resultado: la víctima es conducida a un sitio de phishing, como una falsa página de inicio de sesión de Microsoft, y se le pide que introduzca información personal y/o financiera.

Te puede interesar: Phishing laboral, la estafa que usa falsos despidos para robar datos

Los códigos QR también son populares, según ESET, ya que requieren que el usuario los escanee con su dispositivo móvil, que puede no tener instalado un software de seguridad para evitar que se lleve a una página maliciosa. En cualquier caso, un ataque de phishing selectivo de este tipo también podría permitir a los actores de amenazas hacerse con un punto de apoyo crucial en las redes corporativas, así como para la escalada de privilegios, el movimiento lateral y la exfiltración de datos/ransomware.

En los últimos meses, ESET identificó los siguientes incidentes:

• Sobres de Docusign legítimos que falsifican facturas de proveedores, en un intento de engañar a las empresas para que transfieran dinero.
• Facturas falsas que suplantan la identidad de organismos estatales y municipales de Estados Unidos y están diseñadas para engañar a los proveedores para que transfieran dinero.
• Los ciberdelincuentes no falsifican los correos electrónicos de Docusign, sino que registran cuentas reales en la empresa y utilizan sus API para enviar sobres legítimos que imitan marcas conocidas.
• Correos electrónicos de phishing que suplantan la marca Docusign y llevan al usuario a páginas de inicio de sesión de phishing. Estas páginas podrían simular departamentos de recursos humanos y nóminas de empresas, o incluso entidades externas como autoridades municipales.

Estafas de reembolso que citan una transacción falsa e intentan obligar a la víctima a llamar a un número si quiere cancelarla. Una vez al teléfono, se les convence para que faciliten sus datos personales, financieros o de la tarjeta para reclamar el “reembolso”.

En ESET aclaran que hay varias estrategias y recaudos que se pueden tomar para mantenerse alejado de esta amenaza. Desde el punto de vista de una empresa, lo primero es ser consciente de los riesgos y actualizar los programas de concienciación sobre el phishing para asegurarse de que el personal es capaz de detectar las señales de un correo electrónico fraudulento. Las herramientas de simulación deben ser lo suficientemente personalizables para ello.

Entre los puntos que pueden formar parte de los programas de capacitación y concientización, se incluye el chequear la URL de destino, al pasar el mouse por encima de los enlaces o botones de los correos electrónicos de Docusign se puede comprobar que la URL de destino sea legítima, contar con códigos de seguridad, que deben aparecer en cualquier correo electrónico legítimo de Docusign (en la sección «método alternativo de inicio de sesión») y permitir al usuario acceder a un documento directamente en el sitio de Docusign en lugar de seguir los enlaces de un correo electrónico. Además, verificar que la firma de correo electrónico y el nombre o dirección de correo electrónico del remitente coincidan.

Por otro lado, tener precaución frente a archivos adjuntos. No debe haber archivos adjuntos en un correo electrónico inicial de Docusign, solo cuando se haya firmado un documento se recibe una versión final del mismo a través de un archivo adjunto. Asimismo, y ya en general, a los errores ortográficos, gramaticales y de tono, ya que son otro signo revelador de un correo electrónico de phishing.

En cuanto a consejos para las compañías, desde ESET recomiendan que si algún colaborador o colaboradora hace clic en uno de estos intentos de phishing que suplantan a Docusign, la persona que administre la información corporativa deberá llevar a cabo una serie de acciones específicas. Entre las mismas se incluye restablecer las contraseñas del usuario afectado, incluidas las cuentas en las que pueda haber reutilizado sus credenciales. Ejecutar un análisis de malware en el equipo de la víctima para detectar y eliminar cualquier código malicioso, luego aislar el dispositivo de la red para contener el «radio de explosión» de un ataque y supervisar las cuentas de la víctima en busca de actividad inusual.

Por otro lado, vigilar la web oscura en busca de indicios de robo o filtración de información, profundizar en el análisis forense para saber qué quería el atacante y si consiguió un acceso interno elevado, y utilizar el suceso como un momento de aprendizaje para los colaboradores, animándoles a informar rápidamente de correos electrónicos sospechosos y a estar en guardia en general ante correos electrónicos no solicitados.