网络钓鱼诈骗者喜欢知名品牌,因为人们信任他们,他们的电子邮件设计很容易被窃取。而钓鱼者最喜欢的品牌都是你期待听到的,或者不会感到惊讶的,比如亚马逊或DHL。现在您可以将DocuSign添加到该列表中。
Docusign是一个允许人们在云中签署文档的服务。签署文件以电子方式节省大量纸张和时间。它还削减了人类接触,这对于遥远的工作特别有用,或者每个人都被锁定在大流行中。谷歌搜索DocuSign2020年3月几乎翻了一番,留在那里,因为世界各地的许多人开始在家工作。
今年早些时候,特别提到了DocuSign警告有关网络钓鱼活动使用自己的品牌。
寻找坏迹象
Docusign网络钓鱼电子邮件有许多其他网络钓鱼攻击的讲标志:假链接,假发件人,拼写错误等。收件人可以通过在电子邮件中的文档链接上悬停鼠标指针来检查链接。如果它是一个实际的docusign文档,它将被托管docusign.net
.在我们看到的垃圾邮件活动中,文件被托管在docs.google.com.
那feedproxy.google.com.
,有些文件作为附件,哪些文件不做。
此外,发件人地址应属于docusign.net
那但是,孤独是不够的:我们见过欺骗来自那个地址的信息,所以检查其他指标。您可以阅读一份详细的东西清单,以寻找,以及地址报告可疑活动的DocuSign 's事件报告页面(尽管我们建议您简单地选择安全文档访问选项,如下所述)。
请记住,如果您有疑问,请通过直接邮件或其他方法联系发件人并不愚蠢或粗鲁,并验证电子邮件的真实性(只是不按“回复”)。
下面我们列举了一些DocuSign网络钓鱼活动的例子。
假文件发票电子邮件
迹象:
- “亲爱的接收器”?如果发件人不使用实际名称,那就是一个红旗。
- 安全代码太短。
- 如果是需要签名的文档,DocuSign链接将显示“REVIEW DOCUMENT”。
- “查询,联系”和其他邋拼写的额外空间。
- 文件在
feedproxy.google.com.
, 不是docusign.net
.
迹象:
- “亲爱的接受者”?同样,如果发送者没有使用你的真实姓名,那就是一个危险信号。
- 安全代码太短。
- 句子有点偏差,就像你对非母语人士的预期一样。
- 文件在
docs.google.com.
.
虚假的docusign附件
我们的垃圾邮件蜜罐中的另一个样本带有一个假装来自DocuSign的附件。
发件人地址被伪造了。打开附件后,用户会看到一个虚假的微软登录屏幕,希望获得目标用户的密码。这些信息可能是通过被入侵的WordPress网站发送到命令和控制服务器的。
安全文档访问权限
而不是试图确定电子邮件是否糟糕,而是往往更安全(并且不太方便)假设它完全糟糕并忽略其链接。
我们建议您使用合法的DocuSign邮件中提到的“备用签名方法”。如果你收到了DocuSign的电子邮件,请访问docusign.com,单击“访问文档”,然后输入电子邮件中提供的安全代码。它将具有类似于此的格式:EA66FBAC95CF4117A479D27AFB9A85F01。(不要打扰,它是无效的。)如果诈骗者向您发送假的代码,它根本无法正常工作。无需信任发件人或电子邮件中的链接。
然而,更复杂的是,现在已经发现钓鱼者从合法的DocuSign账户发送合法的DocuSign电子邮件。
真正的DocuSign电子邮件用于网络钓鱼
安全供应商Avanan最近发现了一个新DocuSign活动N绕过上面提供的大部分建议,通过使用真实的复杂帐户。
在这种新的攻击中,骗子将文件上传到一个真实的DocuSign账户(不管是免费的还是从别人那里偷来的),并与目标的电子邮件地址共享。
结果,收件人将收到一个合法的DocuSign邮件,具有现有的和功能性的安全代码这导致恶意文件。共享恶意文档是难以做到的,因为Docusign确实有防止武器化附件:上传的文档文件将转换为静态.pdf文件,该文件将删除像嵌入式的恶意内容宏.如果攻击者会在Docusign的保护中找到方法,它仍然可以看到。但它可能不会有必要。
在将其转换为PDF之后,超链接跨越共享文档,并仍然可点击收件人。因此,所有攻击者必须做的是让受害者单击“文件托管文档中的网络钓鱼站点”链接。诈骗者非常擅长让人们点击链接。
使用现有Docusign帐户对抗攻击的保护方法是:
- 你可以通过使用电子邮件以外的其他方式联系所谓的发件人来确定邮件是否合法。
- 如果你落在骗局,反恶意软件软件将警告你,如果你试图进入一个已知的钓鱼网站;它应该识别并阻止下载的恶意文件;它的利用保护将阻止恶意文件部署它们的有效载荷。
- 如果钓鱼网站未知,则a密码管理器能帮上忙。密码管理器不会为它不能识别的站点提供凭据,虽然钓鱼网站可能欺骗人眼,但它不会欺骗密码管理器。这有助于用户获取他们的密码。
保持密码安全!
评论