DocuSign - 法律部門文件電子郵件詐騙

意外收到的電子郵件可能構成嚴重的網路安全風險，尤其當它們營造緊迫感並偽裝成來自可信任品牌時。網路犯罪分子經常利用知名公司來偽造詐騙郵件，使其看起來更具說服力，從而增加收件者點擊郵件的可能性。 「DocuSign - 法務部門文件」電子郵件詐騙就是一個例子。這些郵件與 DocuSign 或任何合法公司、組織或實體均無關聯。相反，它們是旨在傳播惡意軟體的惡意垃圾郵件活動的一部分。

偽造法律文件請求

網路安全研究人員分析了這些電子郵件，並確認它們是惡意垃圾郵件，旨在誘騙收件者下載惡意軟體。這些電子郵件的主題通常為“供應鏈監管備案 ID#SCR-392847”，並聲稱來自 DocuSign 的法務部門。

根據郵件內容，一份文件已發送供電子簽名，必須在三天內審核。為了增強郵件的合法性，郵件中醒目地放置了一個「審核文件」按鈕，並提供了一個附帶安全碼的「其他簽名方式」。這些元素都經過精心設計，旨在使該請求看起來真實可信。

儘管 DocuSign 是一個合法的電子簽名平台，但它與此次活動沒有任何關聯。此外，寄件者的電子郵件地址來自一個無關的第三方域名，而非 DocuSign 本身的域名。

電子郵件背後的真正目的

該騙局的最終目的是誘騙收件者下載惡意 ISO 光碟鏡像檔。無論受害者點擊提供的按鈕還是按照其他指示操作，最終都會被引導去取得有害文件。

ISO 檔案可以直接被 Windows 系統掛載為虛擬驅動器，這使得它們成為網路犯罪分子的理想工具。攻擊者經常使用這種格式，因為它有時可以繞過安全過濾器，而這些過濾器通常會阻止更明顯的惡意附件。

ISO 檔案掛載後，會顯示一個名為「」的可執行檔：

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

文件名具有故意欺騙性。 「.DOC」後綴旨在讓文件看起來像是無害的Microsoft Word文件。實際上，最後的“.exe”副檔名表明它是一個可執行程序，能夠在受害者的電腦上運行程式碼。

文件打開後會發生什麼？

這次攻擊活動中傳播的具體惡意軟體尚未最終確定。但是，該檔案可能安裝多種危險威脅，包括勒索軟體、銀行木馬、憑證竊取程式、鍵盤記錄器、遠端存取木馬（RAT）或其他形式的惡意軟體。

潛在後果包括：

• 使用者名稱、密碼和財務資訊被盜
• 身分盜竊、經濟損失、未經授權的系統存取和資料加密

由於該惡意軟體的功能仍然未知，因此任何與該執行檔的互動都應被視為嚴重的安全事件。

揭露騙局的警訊

儘管這封郵件看似可信，但多項跡象顯示其存在欺詐行為。郵件極力營造緊迫感，要求在三天內完成文件審核。此外，郵件中也提及法律文件標識符，以強化重要性，迫使收件者在未核實請求的情況下迅速採取行動。

利用 DocuSign 等知名品牌是另一種常見的社會工程攻擊手法。網路犯罪分子深諳用戶更容易信任熟悉的服務，尤其是在資訊看起來專業且包含驗證碼或簽名說明等詳細資訊的情況下。

如果您收到此郵件該怎麼辦？

收件人應避免以任何方式與郵件互動。最安全的做法是立即刪除郵件，切勿開啟附件、點擊連結、下載檔案或執行郵件中的任何指示。

已下載或運行該文件的用戶應盡可能斷開受影響設備的網路連接，並使用信譽良好的防毒軟體或終端安全軟體進行全面掃描。任何可能已洩露的密碼也應在乾淨的設備上進行更改，尤其是在敏感帳戶可能已暴露的情況下。

垃圾郵件活動如何散播惡意軟體

以DocuSign為主題的攻擊活動只是網路犯罪更廣泛趨勢的縮影。惡意垃圾郵件仍然是傳播惡意軟體最常見的方式之一。攻擊者通常會將有害內容偽裝成發票、法律通知、出貨更新、帳戶提醒或商業文件。

常見的惡意軟體傳播格式包括 ZIP 和 RAR 壓縮檔案、執行檔、PDF 文件、Microsoft Office 檔案、腳本以及 ISO 和 IMG 等光碟映像格式檔案。有些惡意檔案在開啟後立即開始感染過程，而有些則需要使用者執行其他操作，例如啟用巨集、提取壓縮內容或啟動嵌入式執行檔。

最後想說的話

「DocuSign - 法務部門文件」電子郵件詐騙案例表明，網路犯罪分子如何利用可信賴品牌的冒充、法律主題的資訊以及人為製造的緊迫感來誘騙受害者執行惡意軟體。雖然該郵件乍看之下可能真實可信，但其真正目的是感染系統並可能洩露敏感資訊。對未經請求的電子郵件保持謹慎態度，尤其是那些要求立即採取行動或下載文件的郵件，仍然是抵禦此類威脅最有效的方法之一。