חוקרי אבטחת סייבר ממעבדות Cado Security חשפו מגמה מטרידה של מתקפות דיוג המכוונות למשתמשי DocuSign. מתקפות דיוג אלו מנצלות את האמון והנוחות של פלטפורמות חתימה אלקטרונית במטרה להונות אנשים לחשוף את אישורי הגישה שלהם (שמות משתמשים וסיסמאות). מתקפות הדיוג של DocuSign מתחזות לרוב לאימיילים לגיטימיים והן כוללות מיתוג רשמי ופורמטים המחקים באופן הדוק תקשורת DocuSign אמיתית. בדרך כלל טוענים האימיילים שמסמך ממתין לחתימת הנמען ודוחקים בו ללחוץ על קישור כדי לגשת אליו. עם זאת, קישור זה מפנה משתמשים לאתרים זדוניים שנועדו לגנוב אישורי גישה.
חוקרי הסייבר מציינים כי: "לעתים קרובות תשתמשנה מתקפת הדיוג של DocuSign בחשבונות דוא"ל לגיטימיים שנפרצו כדי לשלוח את ההודעות המזויפות, על מנת לעבור בדיקות אימות הודעות דומיין ותאימות (DMARC)." מגמה מדאיגה אחרת כוללת שימוש באימיילים עסקיים יפניים שנפרצו, אשר נוטים פחות להפעיל מסנני ספאם בהשוואה לדומיינים מאזורים כמו ניגריה או רוסיה.
דוח חוקרי הסייבר מתעמק בפרטים טכניים של מתקפת הדיוג: דוא"ל אחד, עם שורת הנושא "BIYH-QPVSW-3617 מוכן לסקירה שלך", נראה שמקורו בדומיין יפני anabuki-enter.co.jp. הוא הכיל כפתור "סקירת מסמך" שקישר לשירות שיווק לגיטימי, המשמש אולי למעקב אחר אינטראקציות של משתמשים לפני הפניה מחדש לאתר דיוג. שרשור דוא"ל נוסף כלל חילופי דברים לגיטימיים בין חברות כדי להגביר את האותנטיות שלו ובסופו של דבר הוביל קורבנות לאתר זדוני המאחסן קוד JavaScript. הסקריפט הזדוני השתמש בקידוד base64 כדי לבצע בדיקות והשוואות שונות ובסופו של דבר, הפנה את המשתמשים לדף כניסה מזויף שנועד לגנוב אישורי גישה. עמוד אחד כזה אפילו כלל ממשק התחברות של Google Workspace עם בדיקת CAPTCHA כדי לשפר את האמינות.
מתקפות דיוג DocuSign אינם תקריות בודדות אלא בעיה מערכתית: ניתן להשתמש באישורים שנגנבו במתקפות אלו עבור הונאות Business Email Compromise (BEC) או למכור אותם בשווקים פליליים. כפי שהודגש בדוח: "פושעי סייבר מוכרים תבניות דיוג עבור שירותים שונים, כולל DocuSign ו- Office365, לשימוש בהונאות B2B."
