Aanvallers gebruiken DocuSign voor versturen frauduleuze facturen
Aanvallers maken gebruik van DocuSign voor het versturen van frauduleuze facturen. Daarvoor waarschuwt securitybedrijf Wallarm. "In tegenstelling tot traditionele phishingscams die gebruikmaken van misleidende e-mails en kwaadaardige links, wordt bij deze aanvallen gebruik gemaakt van echte DocuSign-accounts en templates om gerenommeerde bedrijven te imiteren, waardoor gebruikers en securitytools op het verkeerde been worden gezet", aldus de onderzoekers van het bedrijf.
DocuSign is een oplossing voor het verzenden, beheren en digitaal ondertekenen van documenten en contracten. Voor het uitvoeren van de aanval maken de aanvallers eerst een betaald, legitiem DocuSign-account aan. Met dit account wordt een malafide document aangemaakt en zo vormgegeven dat het op een echte factuur van een bekend bedrijf lijkt. Het document wordt dan naar een gebruiker gestuurd met het verzoek het te ondertekenen.
"Als gebruikers dit document e-signen, kan de aanvaller het gesigneerde document gebruiken om buiten DocuSign een betaling van de organisatie te vragen of het gesigneerde document via DocuSign naar de financiële afdeling te sturen om zo betaald te krijgen", aldus Wallarm. "Omdat de facturen direct via het platform van DocuSign worden verstuurd, lijken ze legitiem voor e-maildiensten en spamfilters. Er zijn geen malafide links of bijlagen; het gevaar zit in de authenticiteit van het verzoek zelf."
Het is niet zo dat die fraudeur even een andere factuur kan maken en daar die al geplaatste handtekening in zetten, zo werkt het electronisch signeren van documenten niet (als het goed is)!
Er is een verschil tussen "we maken een scan van de handtekening van de directeur en die plakken we als plaatje op een factuur" en het "digitaal ondertekenen van documenten en contracten". Daarbij wordt de digitale ondertekening ongeldig als er iets aan het document veranderd wordt, net zoals bijvoorbeeld een DKIM ondertekening van een mail.
Het is niet zo dat die fraudeur even een andere factuur kan maken en daar die al geplaatste handtekening in zetten, zo werkt het electronisch signeren van documenten niet (als het goed is)!
Er is een verschil tussen "we maken een scan van de handtekening van de directeur en die plakken we als plaatje op een factuur" en het "digitaal ondertekenen van documenten en contracten". Daarbij wordt de digitale ondertekening ongeldig als er iets aan het document veranderd wordt, net zoals bijvoorbeeld een DKIM ondertekening van een mail.
Feitelijk was dit 2FA. Èn de administratie nam een afwachtende houding aan door niet klakkeloos te betalen, èn ik en collega's (als opdrachtgevers) controleerden.
Het is niet zo dat die fraudeur even een andere factuur kan maken en daar die al geplaatste handtekening in zetten, zo werkt het electronisch signeren van documenten niet (als het goed is)!
Er is een verschil tussen "we maken een scan van de handtekening van de directeur en die plakken we als plaatje op een factuur" en het "digitaal ondertekenen van documenten en contracten". Daarbij wordt de digitale ondertekening ongeldig als er iets aan het document veranderd wordt, net zoals bijvoorbeeld een DKIM ondertekening van een mail.
De persoon die inhoudeijk kennis heeft van een opdracht en de tekenbevoegde, kunnen en zijn vaak verschillende personen.
Waar ik ervaring mee heb is dat een opdracht of offerte ondertekend wordt.
Een factuur onderteken je niet. Die zal eerder gecodeerd worden (grootboek en kostensoort) door een codeur (met inhoudelijk kennis van de opdracht) en dan gevalideerd door een tweede set ogen (die vaak geen inhoudelijk kennis van die factuur of de opdracht heeft!)
Maar wat als een directeur die opdracht/offerte/factuur ontvangt. Die zal geen inhoudelijk kennis hebben. maar als het lul-verhaal eromheen voldoende is, kan hij/zij zo tekenen.
Of een lagere persoon in de organisatie krijgt een mailtje of videootje van die "directeur" dat er snel betaald moet worden.
Daar hoeft dus niets vooor geknipt en geplakt te worden. Vaak is social enginering voldoende.
Feitelijk was dit 2FA. Èn de administratie nam een afwachtende houding aan door niet klakkeloos te betalen, èn ik en collega's (als opdrachtgevers) controleerden.
Ja dat is wel het absolute minimum om te doen....
Wat men bij onze financiele administratie ook doet is checken of naam, adres en rekeningnummer op de factuur wel kloppen cq voor terugkerende facturen niet veranderd zijn, en of er een inkoopreferentie op staat waar de factuur aan gekoppeld kan worden.
Als er dingen niet kloppen wordt dit terdege uitgezocht en/of men weigert de factuur en vraagt een gecorrigeerde.
Een stickertje erop met "let op ons bankrekeningnummer is gewijzigd" dat is een dikke rode vlag en die factuur wordt niet betaald tot het 100% zeker is dat dit allemaal in de haak is.
Feitelijk was dit 2FA. Èn de administratie nam een afwachtende houding aan door niet klakkeloos te betalen, èn ik en collega's (als opdrachtgevers) controleerden.
Ja dat is wel het absolute minimum om te doen....
Wat men bij onze financiele administratie ook doet is checken of naam, adres en rekeningnummer op de factuur wel kloppen cq voor terugkerende facturen niet veranderd zijn, en of er een inkoopreferentie op staat waar de factuur aan gekoppeld kan worden.
Als er dingen niet kloppen wordt dit terdege uitgezocht en/of men weigert de factuur en vraagt een gecorrigeerde.
Een stickertje erop met "let op ons bankrekeningnummer is gewijzigd" dat is een dikke rode vlag en die factuur wordt niet betaald tot het 100% zeker is dat dit allemaal in de haak is.
Dat waren essentiële aspecten waar ik geen oog op hoefde te vestigen. Die lagen weer puur bij de administratie vanwaaruit de facturen werden voldaan maar deze controles waren/zijn uiteraard wél belangrijk.
@ Anoniem, Feitelijk best goed dat je die zaken hier nog even benadrukt.
Mijn controles betroffen: Wie is betalingsplichtig? Ons bedrijf of een vaste derde partij? (Daar waren richtlijnen voor) Wie heeft de werkzaamheden uitgevoerd (naam bedrijf). Totaal aantal manuren en verbruikte materialen specificatie als het werk betrof op regiebasis. Zo waren er nog enkele dingetjes meer, maar die ben ik vergeten. Té lang geleden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
