吳明宜研究發現駭客濫用DocuSign平台API,偽造知名公司發票並向企業請款。這波攻擊已持續一段時間,多家受害企業已在論壇反映,DocuSign表示正監控可疑活動。
研究人員發現駭客利用電子簽章平台 DocuSign 冒充並且大量發送酷似知名公司如諾頓、 PayPal 等公司的假發票,向受害企業請款。
DocuSign 是電子簽章平台,可供企業數位簽名、寄發和管理電子文件。 DocuSign 的 Envelope API 是 DocuSign 的 eSignature REST API 的核心元件,讓開發人員製作、寄送和管理文件容器(即「信封」),容器的角色是定義簽章過程,而 API 則是提供客戶自動化文件簽章流程、寄送,追蹤文件狀態,以及簽好名後取得文件。
安全廠商 Wallarm 研究人員發現,駭客利用付費的合法 DocuSign 帳號來濫用該 API,偽造知名軟體公司的發票。駭客因為可自由取用 DocuSign 平台的範本,而得以使用知名公司品牌和版型設計外觀幾可亂真的假文件。接著他們又用「Envelops: create」API 函式產生大量假發票,來廣發給不知情的受害企業。在這些假發票上印有金額,進一步提升假發票的可信度。
Wallarm 表示,一旦受害企業簽了章,攻擊者就可以利用簽章完成的文件向 DocuSign 以外的公司請款,或透過 DocuSign 將文件寄給受害公司財務部請款,錢最後當然就進了駭客銀行戶頭。
至於 DocuSign 何以遭駭客自由取用,Wallarm 並未說明。
在通報 DocuSign 前,研究人員發現此波攻擊已經持續一陣子,不少受害企業已在 DocuSign 平台論壇通報。
DocuSign 發言人本周回應,已經獲知此消息,但該公司稱有多個系統和技術團隊確保其服劮不會被誤用。 DocuSign 還表示會持續監控公司網路系統是否有和本次事件有關的可疑活動。