Jak funguje phishing napodobující Docusign

Útok začíná e-mailem, který je obvykle vytvořen tak, aby se podobal legitimní komunikaci služby Docusign. V tomto konkrétním schématu se podvodníci obvykle neobtěžují pečlivě falšovat nebo maskovat adresu odesílatele, protože díky možnostem přizpůsobení služby mohou pravé e-maily Docusign pocházet z jakékoli adresy.

Ve většině případů je oběť upozorněna, že musí elektronicky podepsat nějaký dokument, obvykle finanční, jehož přesný účel není z textu e-mailu zcela zřejmý. V některých případech e-mail obsahuje také PDF přílohu s QR kódem. Oběť je vyzvána k naskenování tohoto QR kódu, který má údajně zpřístupnit dokument k podpisu. QR kód však vede ve skutečnosti na podvodnou webovou stránku. Tato metoda má přimět uživatele, aby škodlivý odkaz neotevřeli na počítači, ale na chytrém telefonu, kde jsou phishingové adresy URL hůře odhalitelné a kde nemusí být nainstalován bezpečnostní software.
Někdy si kyberzločinci dají záležet i na tom, aby napodobili vzhled legitimního e-mailu služby Docusign, doplněného bezpečnostním kódem v zápatí e-mailu. V některých případech podvodníci napodobují integraci služby Docusign se službou Microsoft SharePoint.

Stručně řečeno, taktiky a kvalita provedení se mohou e-mail od e-mailu lišit. Základní princip však zůstává stejný – podvodníci spoléhají na to, že příjemce přesně neví, jak elektronické podepisování pomocí služby Docusign vlastně funguje. Nepozorná oběť tak přejde přes odkaz (nebo QR kód) na phishingovou stránku a zadá svoje přihlašovací údaje zaměstnance, které se tak dostanou přímo k útočníkům.

Uživatelská jména a hesla takto získaná při úspěšných phishingových útocích se často shromažďují v databázích, prodávána na nelegálních tržištích dark webu a později využívána k útokům na organizace.

Jak ve skutečnosti funguje e-podpis pomocí služby Docusign

Samotný proces podepisování dokumentu pomocí služby Docusign je pro běžného uživatele velmi jednoduchý. Od strany, která žádá o podpis, obdržíte e-mail s velkým žlutým tlačítkem Review Document, které nelze přehlédnout.
Kliknutím na toto tlačítko budete přesměrováni prostřednictvím jedinečného odkazu na webové stránky Docusign (na doméně docusign.net). Na stránce, která se otevře, se zobrazí krátká zpráva od iniciující strany a vedle ní tlačítko Continue, stejně velké a žluté.
Dokument k podpisu je k dispozici okamžitě, bez zadávání hesel. Jednoduše si jej prohlédnete, případně doplníte některé údaje (například jméno, datum a podobně) do příslušných polí, připojíte svůj podpis a kliknete na tlačítko Finish, které je také velké a žluté. To je vše. Nic jiného není zapotřebí.

Co Docusign nikdy nedělá:

• Neposílá PDF přílohu s odkazem na dokument, který má být podepsán. Pravé zprávy od Docusign neobsahují žádné přílohy a tlačítko Review Document se zobrazuje přímo v těle e-mailu.
   
• Nepoužívá QR kód. Docusign funguje na mobilních zařízeních i na počítačích, takže pro přístup k dokumentu je vždy poskytován odkaz, ne QR kód.
   
• Nevyžaduje zadání přihlašovacích údajů zaměstnance. Veškeré informace, které Docusign potřebuje, jsou už obsaženy v jedinečném odkazu zaslaném v e-mailu, takže běžní uživatelé nemusí podstupovat proces ověřování, aby mohli dokument podepsat.
   
• Nenutí uživatele v rámci procesu podepisování k registraci nebo přihlášení. Po podepsání dokumentu vám Docusign může nabídnout vytvoření účtu, ale je to zcela dobrovolné.

Jakékoli další kroky nebo omezení, například vytváření účtu, zadávání přihlašovacích údajů, otevírání příloh nebo nutnost používat k podepisování chytrý telefon, jsou varováním před pokusem o zneužití populární služby ke kybernetickému pdoovodu.

Roman Dedenok
Autor článku je bezpečnostní expert společnosti Kaspersky.