利用 DocuSign API 进行诈骗的新型攻击手法

关键要点

• 网路犯罪者正在利用 DocuSign 的 Envelopes API 发送假发票，受害者签署后，攻击者用这些发票来说服企业财务部门进行付款。
• 这些攻击不仅仿冒公司，还将自己融入合法的通信渠道中，让人防不胜防。
• 攻击者利用合法的 DocuSign 帐户和模板，模仿像 PayPal 和 Norton 这样的知名品牌，来发送电子签名请求。
• 此类攻击展示了对 API 的滥用，并强调了需要改进监控和检测机制。

最近，根据 的报告，网路犯罪分子正利用 DocuSign 的 EnvelopesAPI 发送假发票。这导致许多受害者不知情地签署这些电子发票，而攻击者则利用这些发票来说服企业的财务部门进行支付。过去五个月来，在
社区论坛上，针对这类高度自动化的恶意活动的报告持续增加。

研究人员指出，这些使用者揭示了一个令人担忧的趋势：攻击者不仅仿冒公司，还将自己嵌入到合法的通信渠道中，执行攻击。据 Wallarm研究人员表示，这类攻击与传统的网络钓鱼诈骗有所不同，后者主要依赖精心设计的电子邮件和恶意链接。攻击者建立了真实的 DocuSign 帐户和模板，以假装为像
PayPal 或 Norton 这样的知名公司，令用户和安全工具措手不及。

攻击运作方式

具体来说，攻击者创建了一个合法的、付费的 DocuSign 帐户，使其能够更改模板并直接使用
。随后，攻击者通过电子邮件发送一个特别设计的模板，模仿著名品牌要求电子签名的请求。

这一方案的特别之处在于不仅仅是滥用 API，本身攻击者利用 DocuSign 的 API 功能发送请求，让该请求与一般业务运营无缝融合。Black Duck的网络安全实践负责人 John Waller 表示，通过使用付费的 DocuSign 帐户，攻击者获得了 API访问权限，能够定制和自动化这些欺诈请求，并在不触发普通安全警报的情况下复制合法的工作流程。

Waller 说 ：“这绕过了传统的钓鱼过滤器，因为这些 API 支持的发票是真正的 DocuSign
文件，不含任何恶意链接或附件。”他补充道：“这种 API 的滥用表明，攻击者越来越倾向于利用应用的信任，而不是利用系统漏洞，这意味著需要不仅重新聚焦于
API 监控，还需要提出自适应检测机制以识别可疑的使用模式。”

Entro Security 的联合创始人兼 CEO Itzik Alvas 补充说，API 通常被用来给予攻击者对后端基础设施和资源的过度访问。Alvas表示，在攻击者成功破坏一个 API 后，会迅速横向移动以识别和破坏环境中其他暴露的人工身份和非人类身份 (NHI)。

Alvas 说 ：“DocuSign API 的漏洞便是一个例子，攻击者利用被破坏的非人类身份，假装成官方的 DocuSign 通信，并扩大