Des pirates abusent de l’API de DocuSign pour envoyer de fausses factures !
Les pirates abusent de l'API Enveloppes de DocuSign pour créer et diffuser en masse de fausses factures usurpant l'identité de grands noms tels que Norton et PayPal. Le problème : ces factures semblent authentiques. Faisons le point sur cette menace.
DocuSign est une solution de signature électronique américaine, à destination des particuliers et des professionnels, qui est très utilisée au niveau mondial. Les développeurs peuvent accéder au service d'eSignature par l'intermédiaire d'une API REST, dont l'API "Enveloppes" qui permet de créer, d'envoyer et de gérer des conteneurs de documents (enveloppes) qui définissent le processus de signature.
D'après les chercheurs en sécurité de Wallarm, des pirates ont abusé de l'API "Enveloppes" du service DocuSign pour envoyer de fausses factures qui imitent l'aspect d'entreprises connues. Pour cela, ils ont simplement utilisé des comptes payants DocuSign, c'est-à-dire qu'ils ont souscrit à un abonnement afin de pouvoir utiliser le service de façon légitime.
Grâce à cet accès, ils ont pu accéder à la fonction de création de modèles et ainsi usurper facilement l'identité d'autres marques. Par l'intermédiaire de l'API, ils sont parvenus à automatiser la création et l'envoi en masse de fausses factures. Lorsque l'utilisateur accède au document à signer, il arrive sur une page soignée, avec le logo de l'entreprise, ici Norton, et une facture avec un montant réaliste. Tout porte à croire que la facture est authentique, d'autant plus que la notification d'origine est envoyée par le service DocuSign.
Dans leur rapport, les chercheurs en sécurité de Wallarm précisent : "Ces fausses factures peuvent contenir les prix exacts des produits pour les faire paraître authentiques, ainsi que des frais supplémentaires, comme des frais d'activation de 50 dollars. D'autres scénarios incluent des instructions de virement direct ou des bons de commande."
Détournement d'argent
Avec ces attaques, les cybercriminels cherchent à encaisser de l'argent sur le dos des victimes, de différente façon. Par exemple, une fois que le document est signé, les attaquants peuvent contacter le service financier de la société afin de demander à ce que le paiement soit effectué. Ils peuvent alors montrer la facture issue de DocuSign, et signée électroniquement, comme preuve.
"D'autres tentatives ont porté sur des factures différentes avec des éléments différents, en suivant généralement le même schéma consistant à obtenir des signatures pour les factures qui autorisent ensuite le paiement sur les comptes bancaires des attaquants.", peut-on lire dans le rapport.
Enfin, les chercheurs en sécurité évoquent une augmentation significative de l'utilisation frauduleuse de DocuSign, au cours des 5 derniers mois. D'ailleurs, le forum de DocuSign, il y a plusieurs fils de discussions au sujet de ces arnaques.
