Lembra de quando era preciso imprimir, assinar, escanear, enviar por e-mail, ou até mesmo por fax, toda vez que precisava assinar e mandar um documento oficial? Felizmente, hoje grande parte desse processo acontece nos bastidores, graças a soluções em nuvem como a DocuSign.

Mas, como acontece com toda tecnologia popular, à medida que uma marca conquista uma base massiva de usuários, ela também passa a ser alvo de cibercriminosos. A DocuSign afirma ter 1,6 milhão de clientes ao redor do mundo, incluindo 95% das empresas da Fortune 500, e mais de um bilhão de usuários. Isso a colocou diretamente na mira dos cibercriminosos.

Como funcionam os golpes de phishing com a marca DocuSign?

A engenharia social continua sendo uma das maiores ameaças para as empresas. Segundo a Verizon, o phishing é o vetor inicial de acesso em 19% dos vazamentos de dados, e 60% dos incidentes envolvem algum tipo de falha humana. Por ser uma marca amplamente conhecida e confiável, a DocuSign se torna um alvo natural para cibercriminosos que buscam capturar credenciais corporativas e explorar os ataques de outras formas.

Nesse tipo de golpe, a vítima costuma receber um e-mail com um "envelope" falsificado da DocuSign, solicitando que ela clique em um grande botão amarelo para "revisar o documento". Em alguns casos, o e-mail pode vir acompanhado de um anexo com um código QR. Independentemente do método, o objetivo é o mesmo: levar o usuário a uma página de phishing, muitas vezes um falso login da Microsoft, onde ele será induzido a inserir informações pessoais e/ou financeiras.

Os códigos QR são especialmente perigosos, pois exigem o uso de dispositivos móveis, que muitas vezes não contam com soluções de segurança instaladas para bloquear o acesso a páginas maliciosas. Um ataque direcionado como esse pode permitir que criminosos obtenham acesso inicial a redes corporativas, além de possibilitar movimentações laterais, elevação de privilégios e até ações mais graves, como roubo de dados ou instalação de ransomware.

Alguns exemplos

Nos últimos meses, surgiram casos envolvendo:

  • "Envelopes legítimos" da DocuSign falsificados, que simulam faturas de fornecedores com o objetivo de enganar empresas e induzi-las a fazer transferências de dinheiro;
  • Golpes de faturas falsas que se passam por agências estaduais e municipais dos Estados Unidos, com o intuito de enganar fornecedores e convencê-los a realizar pagamentos;
  • Criminosos que não falsificam e-mails da DocuSign, mas sim criam contas reais na plataforma e utilizam suas APIs para enviar envelopes legítimos que se fazem passar por marcas conhecidas;
  • E-mails comuns de phishing que falsificam a marca DocuSign, redirecionando os usuários para páginas falsas de login. Essas mensagens podem simular comunicações de departamentos de RH, folha de pagamento ou até órgãos públicos;
  • Golpes de reembolso, nos quais uma suposta transação é mencionada e a vítima é instruída a ligar para um número de telefone para cancelamento. Durante a ligação, os golpistas tentam convencer a pessoa a fornecer dados pessoais, financeiros ou de cartão para "receber o reembolso".
paypal-docusign-scam-1
Exemplo de golpe que explora a confiança na marca DocuSign para roubo de dados (Fonte: Reddit).

Exemplo de golpe que explora a confiança na marca DocuSign para roubo de dados (Fonte: Reddit).

Como se proteger

Felizmente, há diversas medidas que podem ser adotadas para manter você e sua empresa seguros contra ameaças envolvendo a DocuSign. Do ponto de vista corporativo, o primeiro passo é reconhecer os riscos e atualizar os programas de conscientização sobre phishing, garantindo que os colaboradores saibam identificar os sinais de alerta em um e-mail falsos. Ferramentas de simulação devem ser flexíveis o suficiente para incluir esse tipo de cenário.

Entre os principais pontos de atenção que os funcionários devem ser treinados a identificar estão:

  • URLs de destino: passe o mouse sobre os links ou botões em e-mails da DocuSign para verificar se os endereços de destino são legítimos;
  • Códigos de segurança: e-mails legítimos da DocuSign sempre incluem um código de segurança (na seção "método alternativo de login"), que permite acessar o documento diretamente no site da DocuSign, sem precisar clicar em links;
  • Anexos: e-mails iniciais da DocuSign nunca devem conter anexos. O único momento em que um anexo é enviado é após a assinatura do documento;
  • Erros de ortografia, gramática ou tom inadequado: são sinais clássicos de e-mails de phishing;
  • Assinatura de e-mail e nome/endereço do remetente incompatíveis: divergências entre o nome exibido e o endereço de e-mail real ou uma assinatura suspeita indicam tentativa de fraude.

Além de investir em treinamentos de conscientização sobre phishing, é essencial adotar camadas adicionais de proteção para fortalecer a segurança da empresa. Veja algumas medidas recomendadas:

  • Autenticação multifator (MFA) em todas as contas corporativas, dificultando o acesso de cibercriminosos mesmo que eles consigam roubar credenciais;
  • Boas práticas com senhas, como o uso de senhas fortes e únicas para cada conta, armazenadas com segurança em um gerenciador de senhas;
  • Ferramentas de segurança em camadas, fornecidas por empresas confiáveis como a ESET, que ajudam a detectar anexos maliciosos, bloquear links para sites de phishing e permitir que administradores definam condições e ações específicas para filtragem de e-mails;
  • Política atualizada de segurança, orientando os usuários a não abrir anexos nem clicar em links em e-mails não solicitados, e a acessar documentos da DocuSign somente por meio do código de segurança presente nos e-mails legítimos;
  • Revisão dos processos internos de transferência de fundos, exigindo validação adicional para transações de alto valor;
  • Estimular a comunicação de e-mails suspeitos, pedindo que os colaboradores reportem qualquer mensagem temática da DocuSign que pareça duvidosa ao time de TI/segurança e também para o endereço spam@docusign.com.

O que fazer se você for vítima de um golpe

Se o pior acontecer e um colaborador acabar clicando em um golpe envolvendo a DocuSign, o administrador de TI deverá seguir uma série de ações específicas para mitigar os prejuízos:

  • Redefinir as senhas do usuário afetado, incluindo aquelas de contas em que ele possa ter reutilizado as mesmas credenciais;
  • Executar uma varredura contra malware no dispositivo da vítima para detectar e remover qualquer código malicioso;
  • Isolar o dispositivo da rede para conter o "raio de impacto" do ataque;
  • Monitorar a dark web em busca de sinais de roubo ou vazamento de informações;
  • Acompanhar as contas do usuário em busca de atividades incomuns;
  • Investigar mais a fundo com análises forenses, a fim de entender o objetivo do invasor e se ele conseguiu obter acesso privilegiado à rede interna;
  • Usar o incidente como um aprendizado, incentivando os funcionários a reportarem rapidamente e-mails suspeitos e a manterem atenção redobrada com mensagens não solicitadas.

Vale lembrar que a DocuSign não é usada apenas por empresas. Você pode ter tido contato com a plataforma em situações pessoais, como na compra de um imóvel ou ao preencher documentos fiscais. Nesse caso, muitas das dicas acima continuam válidas. Aplicativos de assinatura eletrônica são grandes facilitadores, mas é essencial manter a atenção para não cair em golpes que exploram a confiança nesses serviços.