DocuSign - הונאת דוא"ל של מסמכים במחלקה המשפטית
הודעות דוא"ל בלתי צפויות עלולות להוות סיכוני סייבר משמעותיים, במיוחד כאשר הן יוצרות תחושת דחיפות ונראות כאילו הן מגיעות ממותגים מהימנים. פושעי סייבר מנצלים לעתים קרובות חברות ידועות כדי לגרום להודעות הונאה להיראות משכנעות ולהגדיל את הסבירות שהנמענים יקיימו איתן אינטראקציה. הונאת הדוא"ל 'DocuSign - מסמך המחלקה המשפטית' היא דוגמה לכך. הודעות דוא"ל אלו אינן קשורות ל-DocuSign או לכל חברה, ארגון או ישות לגיטימיים. במקום זאת, הן חלק מקמפיין ספאם זדוני שנועד להפיץ תוכנות זדוניות.
תוכן העניינים
בקשה למסמך משפטי מזויף
חוקרי אבטחת סייבר ניתחו את האימיילים הללו וזיהו אותם כהודעות ספאם זדוניות שנועדו להערים על הנמענים להוריד תוכנה זדונית. האימיילים מגיעים בדרך כלל עם שורת הנושא 'Supply Chain Regulatory Filing ID#SCR-392847' וטוענים שמקורם במחלקה המשפטית של DocuSign.
לפי ההודעה, מסמך נשלח לחתימה אלקטרונית ויש לבדוק אותו תוך שלושה ימים. כדי לחזק את אשליית הלגיטימיות, האימייל מכיל כפתור בולט של 'סקירת מסמך' ומספק 'שיטת חתימה חלופית' בליווי קוד אבטחה. אלמנטים אלה מעוצבים בקפידה כדי לגרום לבקשה להיראות אותנטית ואמינה.
למרות ש-DocuSign היא פלטפורמה לגיטימית לחתימה אלקטרונית, אין לה קשר לקמפיין זה. יתר על כן, כתובת הדוא"ל של השולח מקורה בדומיין של צד שלישי לא קשור ולא מ-DocuSign עצמה.
המטרה האמיתית מאחורי האימייל
המטרה הסופית של ההונאה היא לשכנע את הנמענים להוריד קובץ תמונת דיסק ISO זדוני. בין אם הקורבנות לוחצים על הכפתור שסופק או פועלים לפי ההוראות החלופיות, הם מופנים להשגת הקובץ המזיק.
ניתן להרכיב קבצי ISO ישירות על ידי Windows ככוננים וירטואליים, מה שהופך אותם לכלי אטרקטיביים עבור פושעי סייבר. תוקפים משתמשים לעתים קרובות בפורמט זה מכיוון שהוא יכול לפעמים לעקוף מסנני אבטחה שאחרת היו חוסמים קבצים מצורפים זדוניים ברורים יותר.
לאחר טעינת קובץ ה-ISO, הוא חושף קובץ הפעלה יחיד בשם:
'הסכם_NDA_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'
שם הקובץ מטעה במכוון. הכללת הסיומת '.DOC' נועדה לגרום לקובץ להיראות כמסמך Microsoft Word תמים. במציאות, הסיומת הסופית '.exe' מזהה אותו כתוכנית הפעלה המסוגלת להריץ קוד במחשב הקורבן.
מה קורה לאחר פתיחת הקובץ?
התוכנה הזדונית המדויקת שהועברה באמצעות קמפיין זה לא זוהתה באופן חד משמעי. עם זאת, הקובץ עלול להתקין מגוון איומים מסוכנים, כולל תוכנות כופר, טרויאנים בנקאיים, גניבת אישורים, keyloggers, טרויאנים לגישה מרחוק (RATs) או צורות אחרות של תוכנה זדונית.
השלכות אפשריות כוללות:
- גניבת שמות משתמש, סיסמאות ומידע פיננסי
- גניבת זהות, הפסדים כספיים, גישה בלתי מורשית למערכת והצפנת נתונים
מכיוון שיכולותיה של התוכנה הזדונית נותרות לא ידועות, כל אינטראקציה עם הקובץ הניתן להרצה צריכה להיחשב כאירוע אבטחה חמור.
סימני אזהרה שחושפים את התרמית
למרות המראה המשכנע של ההודעה, מספר אינדיקציות מצביעות על פעילות הונאה. האימייל מסתמך במידה רבה על דחיפות בכך שהוא קובע מועד אחרון של שלושה ימים לבדיקת מסמכים. הוא גם מתייחס למזהה הגשה משפטי כדי ליצור תחושת חשיבות וללחוץ על הנמענים לפעול במהירות מבלי לאמת את הבקשה.
השימוש בשם מותג מהימן כמו DocuSign הוא טקטיקה נפוצה נוספת של הנדסה חברתית. פושעי סייבר מבינים שמשתמשים נוטים יותר לסמוך על שירותים מוכרים, במיוחד כאשר ההודעה נראית מקצועית ומכילה פרטים כגון קודי אימות או הוראות חתימה.
מה לעשות אם קיבלת דוא”ל זה
על הנמענים להימנע מאינטראקציה עם ההודעה בכל דרך שהיא. הגישה הבטוחה ביותר היא למחוק את האימייל באופן מיידי ולהימנע מפתיחת קבצים מצורפים, לחיצה על קישורים, הורדת קבצים או ביצוע הוראות כלשהן הכלולות בהודעה.
אנשים שכבר הורידו או הפעילו את הקובץ צריכים לנתק את המכשיר הפגוע מהרשתות במידת האפשר ולבצע סריקה מקיפה באמצעות תוכנת אנטי-וירוס או אבטחת נקודות קצה בעלת מוניטין. יש לשנות כל סיסמה שעלולה להיות פרוצה גם ממכשיר נקי, במיוחד אם חשבונות רגישים נחשפו.
כיצד קמפיינים של ספאם מפיצים תוכנות זדוניות
קמפיין DocuSign הוא רק דוגמה אחת למגמה רחבה יותר בפשעי סייבר. הודעות דואר זדוניות של ספאם נותרות אחת השיטות הנפוצות ביותר להפצת תוכנות זדוניות. תוקפים מסווים באופן שגרתי תוכן מזיק כחשבוניות, הודעות משפטיות, עדכוני משלוח, התראות חשבון או מסמכים עסקיים.
פורמטים נפוצים להפצת תוכנות זדוניות כוללים ארכיוני ZIP ו-RAR, קבצי הרצה, מסמכי PDF, קבצי Microsoft Office, סקריפטים ופורמטים של תמונות דיסק כגון קבצי ISO ו-IMG. חלק מהקבצים הזדוניים מתחילים את תהליך ההדבקה מיד עם פתיחתם, בעוד שאחרים דורשים פעולות נוספות של המשתמש, כגון הפעלת פקודות מאקרו, חילוץ תוכן מאוחסן או הפעלת קבצי הרצה מוטמעים.
מחשבות אחרונות
הונאת הדוא"ל 'DocuSign - מסמך של המחלקה המשפטית' מדגימה כיצד פושעי סייבר משלבים התחזות למותג מהימן, מסרים בעלי אופי משפטי ודחיפות מלאכותית כדי לפתות קורבנות להפעיל תוכנות זדוניות. בעוד שההודעה עשויה להיראות אותנטית במבט ראשון, מטרתה האמיתית היא להדביק מערכות ולסכן מידע רגיש. שמירה על גישה זהירה כלפי דוא"ל לא רצוי, במיוחד כאלה המבקשים פעולה מיידית או הורדות קבצים, נותרה אחת ההגנות היעילות ביותר מפני איומים כאלה.
System Messages
The following system messages may be associated with DocuSign - הונאת דוא"ל של מסמכים במחלקה המשפטית:
Subject: Supply Chain Regulatory Filing ID#SCR-392847 |