روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ فیشرها مدام در حال اختراع ترفندهای جدید و یافتن سرویس‌های تازه برای اکسپلویت و جعل در کمپین‌های فیشینگ خود هستند. امروز قرار است به ایمیل‌های فیشینگی بپردازیم که به نظر می‌آید از جانب Docusign که محبوب‌ترین سرویس امضای دیجیتال است هستند.

ساز و کار فیشینگ با تم Docusign

این حمله با ایمیل شروع می‌شود؛ ایمیلی که معمولاً طراحی شده تا شبیه به یک ارتباط قانونی Docusign باشد. در این نقشه بخصوص، فیشرها معمولاً به خود زحمت جعل دقیق یا ماسکه کردن آدرس فرستنده نمی‌دهند چون ایمیل‌های واقعی Docusign می‌توانند به دلیل گزینه‌های سفارشی‌سازی سرویس، از هر آدرسی سرچشمه بگیرند. در بیشتر موارد، قربانی مطلع می‌شود که نیاز است داکیومنتی را به طور الکترونیک امضا کند- معمولاً داکیومنتی مالی- که هدف آن تماماً از متن ایمیل معلوم نیست. در بیشتر موارد، فیشرها ترفند اضافی می‌زنند که قبل‌تر در پستی جداگانه بدان پرداختیم: ایمیلی حاوی پیوست پی‌دی‌اف با کد کیوآری در داخلش.

قربانی مجبور می‌شود این کد کیو آر را اسکن کند-  ظاهراً برای دسترسی به داکیومنتی جهت امضا. در واقعیت، کد کیوآر به وبسایت فیشینگ می‌انجامد. این متود کاربران را فریب می‌دهد تا لینک مخربی را نه روی کامپیوتر که روی اسمارت‌فون باز کنند- جایی که یوآرال‌های فیشینگ سخت‌تر شناسایی می‌شوند و نرم‌افزارهای امنیتی هم ممکن است نصب نشده باشند. گاهی این ایمیل Docusign را اصلاً ذکر نمی‌کنند. در یکی از نسخه‌های اسکم پی‌دی‌اف حاوی کیو آر کد، تنها داخل پی‌دی‌اف است که به Docusign اشاره می‌شود. گاهی مجرمان سایبری ظاهر ایمیل قانونی Docusign را شبیه‌سازی می‌کنند که کد امنیتی در پای ایمیل آن را تکمیل می‌کند. در برخی موارد هم فیشرها یکپارچگی Docusign را با Microsoft SharePoint تقلید می‌کنند.

در برخی موارد دیگر، ایمیل‌های اسکم هیچ وجه اشتراکی با مدل‌های واقعی ندارند. گاهی حتی فیشرها به خود زحمت نمی‌دهند لوگوی Docusign را اضافه کنند. به طور خلاصه، تاکتیک‌ها و کیفیت اجرا ایمیل به ایمیل متفاوت است. با این همه اصل، یکی است: فیشرها به عدم درک ساز و کار امضای دیجیتال در Docusign وابسته هستند. قربانی بی‌توجه، لینک (یا کد کیو آر) را در صفحه فیشینگ فالو کرده و اطلاعات لاگین کاری خود را وارد می‌کنند که مستقیم به دست مجرمان می‌افتد. نام‌های کاربری و پسوردهای جمع‌شده در طول حملات موفق فیشینگ اغلب در پایگاه‌های اطلاعات روی دارک‌وب فروش می‌روند و بعداً از آن‌ها برای سازمان‌های حمله استفاده می‌شود.

ساز و کار امضای دیجیتال در Docusign

فرآیند واقعی امضای سند با Docusign برای کاربر عادی خود سادگی است. ایمیلی از طرف درخواست امضا دریافت می‌کنید که حاوی یک دکمه بزرگ زرد رنگ <em>بررسی سند</em> است.

با کلیک بر روی این دکمه شما را از طریق یک لینک منحصر به فرد به وبسایت Docusign (در دامنه docusign.net)هدایت می‌کند. صفحه‌ای که باز می‌شود یک پیام کوتاه از طرف شروع‌کننده را نشان می‌دهد که در کنار آن دکمه <em>ادامه</em>، به طور مشابه بزرگ و زرد رنگ است. سند امضا فوراً در دسترس است - بدون وارد کردن رمز عبور. شما به سادگی آن را مرور کرده، ممکن است برخی از جزئیات (مانند نام، تاریخ و غیره) را در فیلدهای مناسب اضافه کنید، امضای خود را اعمال و روی دکمه <em>پایان</em> کلیک کنید (همچنین بزرگ و زرد). هم‌چیز تحت کنترل است. هیچ اقدام دیگری لازم نیست.

اما کاری که Docusign هرگز انجام نخواهد داد:

•         یک پیوست PDF را با لینکی به سندی که باید امضا شود ارسال کنید. اعلان‌های خوب Docusign هیچ پیوستی ندارند و دکمه <em> بررسی سند</em> را مستقیماً در متن ایمیل نمایش می‌دهند.
•         چاره ای جز اسکن یک کد QR نیست. Docusign هم بر روی دستگاه‌های تلفن همراه و هم در رایانه کار می‌کند، بنابراین لینکی برای دسترسی به سند همیشه ارائه می‌شود - نه یک کد QR.
•         از شما می خواهد که اعتبار ورود به کار را وارد کنید. تمام اطلاعات مورد نیاز Docusign در لینک منحصر به فرد ارسال شده در ایمیل موجود است، بنابراین کاربران عادی برای امضای یک سند نیازی به احراز هویت ندارند.
•         شما را مجبور به ثبت نام یا ورود به Docusign می‌کند. پس از امضای سند، Docusign ممکن است ایجاد یک حساب کاربری را پیشنهاد دهد، اما این کاملا اختیاری است.

یادتان باشد کل هدف Docusign، ساده کردن هرچه بیشتر تبادل اسناد امضاشده به صورت دیجیتال بین شرکت‌هاست. هر مرحله یا محدودیت اضافی - مانند ایجاد یک حساب کاربری، وارد کردن اعتبارنامه، باز کردن پیوست‌ها، یا استفاده از تلفن هوشمند برای امضا کردن - خلاف این اصل است. بنابراین، Docusign هیچ یک از اینها را نمی‌خواهد و تلاش می‌کند تا فرآیند امضا را تا حد امکان سریع و ساده کند.

راهکارهای امنیتی

برای محافظت از سازمان خود در برابر حملات فیشینگ که جعل هویت Docusign یا سایر خدمات محبوب هستند، اقدامات زیر را در نظر بگیرید:

•         فیلتر کردن ایمیل‌های مشکوک و ناخواسته در سطح دروازه - راهکار جامع ما Kaspersky Security for Mail Servers این کار را برای شما انجام می‌دهد.
•         محافظت از نقاط پایانی در برابر تغییر مسیرهای فیشینگ با Kaspersky Small Office Security یا Kaspersky Next -  بسته به اندازه سازمان شما.
•         افزایش آگاهی کارکنان از تهدیدهای سایبری با آموزش تخصصی. ارائه چنین آموزشی با استفاده از پلتفرم آگاهی امنیتی خودکار آموزشی کسپرسکی ما آسان است.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.