Vous vous souvenez quand vous deviez imprimer, signer, scanner, envoyer par e-mail et/ou même par fax chaque fois que vous vouliez signer et envoyer un document officiel ? Aujourd'hui, une grande partie de cette tâche est effectuée directement par des éditeurs d'applications cloud tels que Docusign.

Mais comme pour toutes les marques technologiques, une fois qu'elles ont atteint une masse critique d'utilisateurs, les cybercriminels cherchent des moyens de les exploiter à leurs propres avantages. Docusign affirme compter 1,6 million de clients dans le monde, dont 95 % des entreprises du classement Fortune 500, et plus d'un milliard d'utilisateurs. Cela l'a placé dans le collimateur des cybercriminels. Découvrez dans cet article comment vous protéger contre les tentatives d'hameçonnage visant Docusign.

Docusign n'est pas seulement utilisé par les entreprises et vous l’avez peut-être déjà utilisé à titre personnel lors de l'achat d'une maison ou dans le cas de documents fiscaux. Dans ce cas, bon nombre des conseils ci-dessous vous seront utiles.

Comment fonctionne le phishing Docusign ?

L'ingénierie sociale est l'une des plus grandes menaces pour les entreprises et le grand public. Selon Verizon, le phishing est désormais le vecteur d'accès initial dans 19 % des violations de données, tandis que 60 % d'entre elles impliquent un « facteur humain ». En tant que marque de confiance et largement reconnue, Docusign est un choix naturel pour les acteurs malveillants qui cherchent à récolter les identifiants de connexion des entreprises et à monétiser leurs attaques de façon différente.

Les victimes reçoivent généralement un e-mail contenant une « enveloppe » Docusign falsifiée leur demandant de cliquer sur une grande case jaune pour « consulter le document ». Il peut également y avoir une pièce jointe contenant un code QR. Ces deux actions peuvent aboutir au même résultat : la victime est redirigée vers un site de phishing, tel qu'une fausse page de connexion Microsoft, et invitée à saisir des informations personnelles et/ou financières.

Les codes QR sont également très populaires, car ils obligent l'utilisateur à les scanner avec son appareil mobile, qui n'est peut-être pas équipé d'un logiciel de sécurité empêchant l'accès à une page malveillante. Dans tous les cas, une attaque de phishing ciblée comme celle-ci pourrait également permettre aux cybercriminels de prendre pied dans les réseaux d'entreprise, ainsi que d'obtenir des privilèges supplémentaires, de se déplacer latéralement et d'exfiltrer des données ou de déployer des ransomwares.

En voici quelques exemples

Au cours des derniers mois, plusieurs incidents ont été signalés :

  • Des enveloppes Docusign « légitimes » qui usurpent l'identité de fournisseurs afin d'inciter les entreprises à transférer de l'argent.
  • Des escroqueries par fausses factures qui usurpent l'identité d'agences gouvernementales américaines (étatiques et municipales) afin d'inciter les fournisseurs à effectuer des virements bancaires.
  • Les cybercriminels ne falsifient pas de faux e-mails Docusign, mais enregistrent plutôt de vrais comptes auprès de l'entreprise et utilisent ses API pour envoyer des enveloppes légitimes usurpant l'identité d’entreprises reconnues.
  • Des e-mails de phishing classiques usurpant la marque Docusign et redirigeant l'utilisateur vers des pages de connexion de phishing. Ceux-ci peuvent imiter les services RH et paie des entreprises, ou même des entités externes telles que les autorités municipales.
  • Des escroqueries au remboursement qui invoquent une fausse transaction et tentent de forcer la victime à appeler un numéro si elle souhaite l'annuler. Une fois au téléphone, elle sera poussée à communiquer ses informations personnelles/financières/bancaires afin de réclamer le « remboursement ».

paypal-docusign-scam-1
paypal-docusign-scam-2

Exemple d'une arnaque abusant de la confiance des internautes dans Docusign pour voler des données (Source : Reddit)

Restez protégés !

Heureusement, plusieurs gestes de cyberhygiène vous permettent de vous protéger, vous et/ou votre entreprise face aux menaces liées à Docusign. Du point de vue de l'entreprise, la première mesure à prendre consiste à proposer une formation de sensibilisation au phishing afin de vous assurer que votre personnel est capable de repérer les signes avant-coureurs d'un e-mail frauduleux. Les outils de simulation doivent être suffisamment personnalisables pour permettre cela.

Côté utilisateurs et employés, voici ce qu’il faut retenir :

  • URL de destination : passez la souris sur les liens/boutons contenus dans les e-mails Docusign pour vérifier que les URL de destination sont légitimes.
  • Codes de sécurité : ceux-ci doivent figurer dans tout e-mail Docusign légitime (dans la section « méthode de connexion alternative ») et permettre à l'utilisateur d'accéder directement à un document sur le site Docusign plutôt que de suivre les liens contenus dans un e-mail.
  • Pièces jointes : il ne devrait y avoir aucune pièce jointe dans un e-mail Docusign initial. Ce n'est qu'une fois le document signé que vous recevrez une version finale de celui-ci en pièce jointe.
  • Fautes d'orthographe, de grammaire et de ton : elles constituent un autre signe révélateur d'un e-mail de phishing (même si cela tend à disparaître avec l’essor d’outils d’intelligence artificielle).
  • Une signature électronique et un nom/une adresse e-mail de l'expéditeur qui ne correspondent pas.

Renforcez votre protection avec quelques gestes simples mais indispensables :

  • L'authentification multifactorielle (MFA) pour tous les comptes personnels et d'entreprise. Elle rendra plus difficile l'accès à vos données par les pirates, même s'ils parviennent à voler vos identifiants.
  • Une bonne hygiène en matière de mots de passe, notamment l'utilisation de mots de passe forts et uniques pour chaque compte, stockés dans un gestionnaire de mots de passe.
  • Une suite de sécurité multicouche provenant d'un éditeur réputé tel qu'ESET, qui, entre autres, détecte les pièces jointes malveillantes, empêche les utilisateurs de suivre des liens vers des sites de phishing et permet aux administrateurs de définir manuellement les conditions et les actions de filtrage des e-mails.

Pour les entreprises :

  1. Pensez à une politique régulièrement mise à jour pour inciter les utilisateurs à ne pas ouvrir les pièces jointes ou suivre les liens contenus dans les e-mails non sollicités, et à n'accéder aux documents Docusign qu'à l'aide du code de sécurité.
  2. La modification des processus internes de l'entreprise concernant les transferts de fonds, afin que toute somme importante fasse l'objet d'un contrôle supplémentaire.
  3. Encourager les utilisateurs à signaler tous les e-mails suspects liés à Docusign à votre équipe informatique/sécurité et à spam@docusign.com.

Que faire si vous êtes victime d'une attaque ?

Si le pire se produit et que vous (ou un employé) cliquez sur un lien frauduleux Docusign, vous devrez prendre une série de mesures spécifiques, notamment :

  • Réinitialiser vos mots de passe y compris ceux des comptes sur lesquels vous avez recyclé vos identifiants (ex. : mot de passe identique sur plusieurs comptes différents)
  • Lancer une analyse anti-malware sur votre ordinateur afin de détecter et de supprimer tout code malveillant.
  • En entreprise, il sera nécessaire d’isoler l'appareil du réseau afin de limiter la portée de l'attaque.
  • Surveiller le dark web à la recherche de signes de vol ou de fuite d'informations.
  • Surveiller vos comptes à la recherche d'activités inhabituelles.
  • Et éventuellement, en entreprise, approfondir l'analyse afin de comprendre ce que l'attaquant recherchait et s'il a réussi à obtenir un accès interne privilégié. Vous pourrez également utiliser cet événement comme une occasion d'apprentissage pour vos employés et les encourager à signaler rapidement les e-mails suspects et à se méfier de manière générale des e-mails non sollicités.

Les applications de signature électronique permettent de gagner beaucoup de temps. Mais prenez garde à ne pas vous faire piéger par des escrocs qui exploitent votre confiance dans ces applications.