Theo công ty an ninh mạng Kapersky, những kẻ lừa đảo đã áp dụng thủ thuật như gửi email giả mạo từ Docusign với liên kết giả đến một tài liệu mà người nhận phải ký. Chúng luôn nghĩ ra những thủ thuật mới và tìm ra các dịch vụ mới để khai thác và mạo danh trong các chiến dịch lừa đảo.

Bài viết này sẽ nói về các email lừa đảo được thiết kế như một thông báo hợp lệ đến từ Docusign, dịch vụ chữ ký điện tử phổ biến nhất thế giới.

Lừa đảo Docusign hoạt động như thế nào?

Cuộc tấn công bắt đầu bằng một email, thường được thiết kế như một thông báo hợp lệ của Docusign. Trong một phi vụ cụ thể, những kẻ lừa đảo thường không quan tâm đến việc làm giả hoặc che giấu địa chỉ người gửi một cách tỉ mỉ, vì các email Docusign chính hãng có thể xuất phát từ bất kỳ địa chỉ nào tùy thuộc vào các tùy chọn tùy chỉnh của dịch vụ.

Trong hầu hết các trường hợp, nạn nhân được thông báo rằng họ cần ký điện tử một tài liệu, thường là tài liệu về tài chính, tuy nhiên, mục đích chính xác của việc này không hoàn toàn rõ ràng trong nội dung email.

Trong một số trường hợp, kẻ lừa đảo sử dụng một thủ thuật bổ sung là email chứa tệp đính kèm PDF có mã QR bên trong.

Nạn nhân được nhắc quét mã QR này, được cho là để truy cập tài liệu để ký. Trên thực tế, mã QR dẫn đến một trang web lừa đảo.

Phương pháp này lừa người dùng mở liên kết độc hại không phải trên máy tính của họ mà trên điện thoại thông minh, nơi các URL lừa đảo khó phát hiện hơn và phần mềm bảo mật có thể không được cài đặt.

Đôi khi, tội phạm mạng cẩn thận sao chép giao diện của email Docusign hợp pháp, hoàn chỉnh với mã bảo mật ở cuối email.

Trong một số trường hợp, kẻ lừa đảo bắt chước tích hợp Docusign với Microsoft SharePoint.

Và trong những trường hợp khác, email lừa đảo không có điểm chung nào với email thật. Ví dụ, ở đây, những kẻ lừa đảo thậm chí còn lười biếng đến mức không thêm logo Docusign.

Tóm lại, các chiến thuật thực hiện có thể khác nhau tùy theo từng email. Tuy nhiên, nguyên tắc chính vẫn là kẻ lừa đảo dựa vào việc người nhận không hiểu cách hoạt động của ký điện tử bằng Docusign.

Nạn nhân không chú ý sẽ nhấp vào liên kết (hoặc mã QR) đến trang lừa đảo và nhập thông tin đăng nhập công việc của họ, thông tin này sẽ được chuyển thẳng đến kẻ tấn công.

Tên người dùng và mật khẩu thu thập được thông qua các cuộc tấn công lừa đảo thành công thường được biên dịch thành cơ sở dữ liệu được bán trên các chợ đen bất hợp pháp và sau đó được sử dụng để tấn công các tổ chức.

Ký điện tử bằng Docusign thực sự hoạt động như thế nào?

Quy trình ký tài liệu bằng Docusign thực tế đối với người dùng thông thường rất đơn giản.

Bạn nhận được email từ bên yêu cầu chữ ký trong đó có nút Review Document màu vàng lớn không thể bỏ qua.

Nhấp vào nút này sẽ chuyển hướng bạn qua một liên kết duy nhất đến trang web Docusign (trên tên miền docusign.net).

Trang mở ra sẽ hiển thị một thông báo ngắn từ bên khởi tạo, bên cạnh là nút Continue cũng lớn và màu vàng.

Tài liệu để ký sẽ có sẵn ngay lập tức mà không cần nhập bất kỳ mật khẩu nào. Bạn chỉ cần xem lại, có thể thêm một số chi tiết (như tên, ngày tháng...) vào các trường thích hợp, áp dụng chữ ký của bạn và nhấp vào nút Finish (nút này cũng lớn và màu vàng) và sau đó không cần thực hiện thêm hành động nào nữa.

Những điều Docusign không bao giờ làm

Ngoài việc nắm được cách hoạt động của Docusign, chúng ta cần nắm được những việc mà Docusign không bao giờ thực hiện, bao gồm:

Gửi tệp đính kèm PDF có liên kết đến tài liệu cần ký. Những thông báo Docusign chính thống không có tệp đính kèm và hiển thị Review Document trực tiếp trong nội dung email.

Không cho lựa chọn nào khác ngoài việc quét mã QR. Docusign hoạt động trên cả thiết bị di động và máy tính, do đó luôn có liên kết để truy cập tài liệu, không phải mã QR.

Yêu cầu nhập thông tin đăng nhập công việc. Tất cả thông tin Docusign cần đều có trong liên kết duy nhất được gửi trong email, do đó người dùng thông thường không cần phải xác thực để ký tài liệu.

Buộc người dùng phải đăng ký hoặc đăng nhập vào Docusign. Sau khi bạn ký tài liệu, Docusign có thể đề xuất tạo tài khoản, nhưng hoàn toàn là tùy chọn.

Hãy nhớ rằng toàn bộ mục đích của Docusign là giúp các công ty và cá nhân trao đổi tài liệu đã ký điện tử dễ dàng nhất có thể.

Bất kỳ bước hoặc hạn chế bổ sung nào, chẳng hạn như tạo tài khoản, nhập thông tin đăng nhập, mở tệp đính kèm hoặc chỉ sử dụng điện thoại thông minh để ký, đều vi phạm nguyên tắc này. Do đó, Docusign không yêu cầu bất kỳ điều nào trong số này và cố gắng làm cho quy trình ký nhanh chóng và đơn giản nhất có thể.

Cách phòng lừa đảo Docusign và lừa đảo qua mạng

Để bảo vệ tổ chức khỏi các cuộc tấn công lừa đảo qua mạng mạo danh Docusign hoặc các dịch vụ phổ biến khác, Kapersky khuyến nghị người dùng cân nhắc các biện pháp sau:

Lọc email đáng ngờ và không mong muốn ở cấp cổng, có thể dùng giải pháp toàn diện Kaspersky Security for Mail Servers.

Bảo vệ những điểm cuối khỏi các chuyển hướng lừa đảo qua mạng bằng Kaspersky Small Office Security hoặc Kaspersky Next, tùy thuộc vào quy mô tổ chức của bạn.

Nâng cao nhận thức của nhân viên về các mối đe dọa mạng bằng chương trình đào tạo chuyên biệt./.

Hạnh Tâm