image

Aanvallers gebruiken DocuSign voor versturen frauduleuze facturen

dinsdag 5 november 2024, 14:05 door Redactie, 8 reacties

Aanvallers maken gebruik van DocuSign voor het versturen van frauduleuze facturen. Daarvoor waarschuwt securitybedrijf Wallarm. "In tegenstelling tot traditionele phishingscams die gebruikmaken van misleidende e-mails en kwaadaardige links, wordt bij deze aanvallen gebruik gemaakt van echte DocuSign-accounts en templates om gerenommeerde bedrijven te imiteren, waardoor gebruikers en securitytools op het verkeerde been worden gezet", aldus de onderzoekers van het bedrijf.

DocuSign is een oplossing voor het verzenden, beheren en digitaal ondertekenen van documenten en contracten. Voor het uitvoeren van de aanval maken de aanvallers eerst een betaald, legitiem DocuSign-account aan. Met dit account wordt een malafide document aangemaakt en zo vormgegeven dat het op een echte factuur van een bekend bedrijf lijkt. Het document wordt dan naar een gebruiker gestuurd met het verzoek het te ondertekenen.

"Als gebruikers dit document e-signen, kan de aanvaller het gesigneerde document gebruiken om buiten DocuSign een betaling van de organisatie te vragen of het gesigneerde document via DocuSign naar de financiële afdeling te sturen om zo betaald te krijgen", aldus Wallarm. "Omdat de facturen direct via het platform van DocuSign worden verstuurd, lijken ze legitiem voor e-maildiensten en spamfilters. Er zijn geen malafide links of bijlagen; het gevaar zit in de authenticiteit van het verzoek zelf."

Reacties (8)
05-11-2024, 15:47 door Anoniem
Okee maar dan moet degene die het tekent toch nog akkoord gaan met die betaling zoals die in dat document staat?
Het is niet zo dat die fraudeur even een andere factuur kan maken en daar die al geplaatste handtekening in zetten, zo werkt het electronisch signeren van documenten niet (als het goed is)!

Er is een verschil tussen "we maken een scan van de handtekening van de directeur en die plakken we als plaatje op een factuur" en het "digitaal ondertekenen van documenten en contracten". Daarbij wordt de digitale ondertekening ongeldig als er iets aan het document veranderd wordt, net zoals bijvoorbeeld een DKIM ondertekening van een mail.
05-11-2024, 17:06 door Anoniem
Door Anoniem: Okee maar dan moet degene die het tekent toch nog akkoord gaan met die betaling zoals die in dat document staat?
Het is niet zo dat die fraudeur even een andere factuur kan maken en daar die al geplaatste handtekening in zetten, zo werkt het electronisch signeren van documenten niet (als het goed is)!

Er is een verschil tussen "we maken een scan van de handtekening van de directeur en die plakken we als plaatje op een factuur" en het "digitaal ondertekenen van documenten en contracten". Daarbij wordt de digitale ondertekening ongeldig als er iets aan het document veranderd wordt, net zoals bijvoorbeeld een DKIM ondertekening van een mail.
Er staat een link in het artikel naar een beschrijving van hoe het werkt. Volg die link even en lees eens wat daar staat.
05-11-2024, 17:17 door Anoniem
Door Anoniem:Er is een verschil tussen "we maken een scan van de handtekening van de directeur en die plakken we als plaatje op een factuur" en het "digitaal ondertekenen van documenten en contracten". Daarbij wordt de digitale ondertekening ongeldig als er iets aan het document veranderd wordt, net zoals bijvoorbeeld een DKIM ondertekening van een mail.
Dat is nu juist het probleem, gemakzucht om maar een plaatje te gebruiken (zeker door gedelegeerden) ipv. met een certificaat tekenen. En ook bij het online tekenen mis ik de optie om met eigen certificaat te tekenen, men genereert maar wat, wat jij dus niet bent... hier zal het probleem wel zijn dat je een document niet op verschillende plekken met certificaten kan tekenen. En als dit wel kan dan zijn online diensten dom bezig.
05-11-2024, 19:48 door [Account Verwijderd]
In een bedrijf waar ik werkzaam ben geweest kreeg ik een maal week facturen onder mijn neus van de administratie om die te paraferen. Elke afdeling werd op die wijze benaderd. Niet een geheel waterdicht systeem want soms als ik absoluut zeker wist dat de factuur wel zou kloppen parafeerde ik zonder mijn (werk)ordermap te raadplegen. Desondanks kan ik stellen dat als de facturatie zo wordt afgehandeld fraudeurs door deze werkwijze geen grote kans op succes hebben,

Feitelijk was dit 2FA. Èn de administratie nam een afwachtende houding aan door niet klakkeloos te betalen, èn ik en collega's (als opdrachtgevers) controleerden.
05-11-2024, 20:16 door Anoniem
Door Anoniem: Okee maar dan moet degene die het tekent toch nog akkoord gaan met die betaling zoals die in dat document staat?
Het is niet zo dat die fraudeur even een andere factuur kan maken en daar die al geplaatste handtekening in zetten, zo werkt het electronisch signeren van documenten niet (als het goed is)!

Er is een verschil tussen "we maken een scan van de handtekening van de directeur en die plakken we als plaatje op een factuur" en het "digitaal ondertekenen van documenten en contracten". Daarbij wordt de digitale ondertekening ongeldig als er iets aan het document veranderd wordt, net zoals bijvoorbeeld een DKIM ondertekening van een mail.

De persoon die inhoudeijk kennis heeft van een opdracht en de tekenbevoegde, kunnen en zijn vaak verschillende personen.
Waar ik ervaring mee heb is dat een opdracht of offerte ondertekend wordt.
Een factuur onderteken je niet. Die zal eerder gecodeerd worden (grootboek en kostensoort) door een codeur (met inhoudelijk kennis van de opdracht) en dan gevalideerd door een tweede set ogen (die vaak geen inhoudelijk kennis van die factuur of de opdracht heeft!)

Maar wat als een directeur die opdracht/offerte/factuur ontvangt. Die zal geen inhoudelijk kennis hebben. maar als het lul-verhaal eromheen voldoende is, kan hij/zij zo tekenen.
Of een lagere persoon in de organisatie krijgt een mailtje of videootje van die "directeur" dat er snel betaald moet worden.

Daar hoeft dus niets vooor geknipt en geplakt te worden. Vaak is social enginering voldoende.
05-11-2024, 20:23 door Anoniem
Door Metobard: In een bedrijf waar ik werkzaam ben geweest kreeg ik een maal week facturen onder mijn neus van de administratie om die te paraferen. Elke afdeling werd op die wijze benaderd. Niet een geheel waterdicht systeem want soms als ik absoluut zeker wist dat de factuur wel zou kloppen parafeerde ik zonder mijn (werk)ordermap te raadplegen. Desondanks kan ik stellen dat als de facturatie zo wordt afgehandeld fraudeurs door deze werkwijze geen grote kans op succes hebben,

Feitelijk was dit 2FA. Èn de administratie nam een afwachtende houding aan door niet klakkeloos te betalen, èn ik en collega's (als opdrachtgevers) controleerden.

Ja dat is wel het absolute minimum om te doen....
Wat men bij onze financiele administratie ook doet is checken of naam, adres en rekeningnummer op de factuur wel kloppen cq voor terugkerende facturen niet veranderd zijn, en of er een inkoopreferentie op staat waar de factuur aan gekoppeld kan worden.
Als er dingen niet kloppen wordt dit terdege uitgezocht en/of men weigert de factuur en vraagt een gecorrigeerde.
Een stickertje erop met "let op ons bankrekeningnummer is gewijzigd" dat is een dikke rode vlag en die factuur wordt niet betaald tot het 100% zeker is dat dit allemaal in de haak is.
05-11-2024, 23:05 door [Account Verwijderd]
Door Anoniem:
Door Metobard: In een bedrijf waar ik werkzaam ben geweest kreeg ik een maal week facturen onder mijn neus van de administratie om die te paraferen. Elke afdeling werd op die wijze benaderd. Niet een geheel waterdicht systeem want soms als ik absoluut zeker wist dat de factuur wel zou kloppen parafeerde ik zonder mijn (werk)ordermap te raadplegen. Desondanks kan ik stellen dat als de facturatie zo wordt afgehandeld fraudeurs door deze werkwijze geen grote kans op succes hebben,

Feitelijk was dit 2FA. Èn de administratie nam een afwachtende houding aan door niet klakkeloos te betalen, èn ik en collega's (als opdrachtgevers) controleerden.

Ja dat is wel het absolute minimum om te doen....
Wat men bij onze financiele administratie ook doet is checken of naam, adres en rekeningnummer op de factuur wel kloppen cq voor terugkerende facturen niet veranderd zijn, en of er een inkoopreferentie op staat waar de factuur aan gekoppeld kan worden.
Als er dingen niet kloppen wordt dit terdege uitgezocht en/of men weigert de factuur en vraagt een gecorrigeerde.
Een stickertje erop met "let op ons bankrekeningnummer is gewijzigd" dat is een dikke rode vlag en die factuur wordt niet betaald tot het 100% zeker is dat dit allemaal in de haak is.

Dat waren essentiële aspecten waar ik geen oog op hoefde te vestigen. Die lagen weer puur bij de administratie vanwaaruit de facturen werden voldaan maar deze controles waren/zijn uiteraard wél belangrijk.

@ Anoniem, Feitelijk best goed dat je die zaken hier nog even benadrukt.

Mijn controles betroffen: Wie is betalingsplichtig? Ons bedrijf of een vaste derde partij? (Daar waren richtlijnen voor) Wie heeft de werkzaamheden uitgevoerd (naam bedrijf). Totaal aantal manuren en verbruikte materialen specificatie als het werk betrof op regiebasis. Zo waren er nog enkele dingetjes meer, maar die ben ik vergeten. Té lang geleden.
05-11-2024, 23:38 door Anoniem
Met dit account wordt een malafide document aangemaakt en zo vormgegeven dat het op een echte factuur van een bekend bedrijf lijkt. Het document wordt dan naar een gebruiker gestuurd met het verzoek het te ondertekenen.
Een familielid geraadpleegd die als consultant in het binnen- en buitenland heeft gewerkt voor grote concerns, maar die zegt dat inkomende facturatie bij grote concerns niet zo werkt en vond het daarom een vreemd verhaal. Misschien dat er nog plaatsen zijn die met handtekeningen werken, maar bij de grote bedrijven is de facturatie totaal anders geregeld dan in dit artikel is genoemd.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.