Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

DocuSign waarschuwt voor phishingcampagne met gestolen e-mailadressen

Door , 19 reacties, submitter: luuj

DocuSign, een bedrijf dat diensten aanbiedt op het gebied van digitale handtekeningen, waarschuwt voor een phishingcampagne die malware verspreidt. Het bedrijf maakte maandag bekend dat de e-mailadressen afkomstig zijn uit zijn eigen systemen.

In een bericht op zijn website schrijft het bedrijf dat 'een derde partij tijdelijk toegang heeft verkregen tot een afgescheiden systeem dat ons in staat stelt om dienstmededelingen via e-mail naar klanten te sturen'. Een analyse zou erop wijzen dat daarbij alleen e-mailadressen zijn buitgemaakt en er geen toegang was tot andere gegevens, zoals wachtwoorden en betalingsgegevens. Ook de documenten van klanten zouden niet toegankelijk zijn geweest.

Het bedrijf waarschuwt klanten om bepaalde e-mails te verwijderen, die in de onderwerpregel refereren aan het ondertekenen van een transactie. Daarnaast roept het ontvangers op om dit soort verdachte mails door te sturen naar het bedrijf. DocuSign maakte vorige week voor het eerst melding van de phishingcampagne, maar vermeldde toen nog niet dat de e-mailadressen afkomstig waren uit zijn eigen systemen. De e-mails verspreiden kwaadaardige Word-documenten, die de systemen van gebruikers infecteren via macro's.

Volgens onderzoeksjournalist Brian Krebs is de phishingcampagne bijzonder effectief, omdat deze gericht is op gebruikers die al verwachten een e-mail van DocuSign te ontvangen. De e-mails zijn niet afkomstig van het bedrijf zelf, maar van domeinen die sterk op de naam van het bedrijf lijken. Bijvoorbeeld van docusgn.com. Het Amerikaanse bedrijf claimt ongeveer 100 miljoen gebruikers te hebben.

Sander van Voorst

Nieuwsredacteur

16 mei 2017 09:12

19 reacties

Submitter: luuj

Linkedin Google+

Reacties (19)

Wijzig sortering
Het blijft bijzonder, dat een bedrijf dat zich zo bezig houdt met zeer belangrijke persoonlijke handtekeningen zo slecht beveiligd lijkt te zijn.

Je (digitale) handtekening kan misbruikt worden voor allerlei grote zaken, met grote juridische of persoonlijke consequenties dan verwacht je op zijn minst dat een dienstverlener in die sector zijn zaken op orde heeft.
Je conclusie gaat iets te snel. De aanval is gericht op het verspreiden van een virus (getuige de makro in het Word-bestand) en niet op het verkrijgen van de handtekening. De handtekening zelf is niet buitgemaakt.

Het grote vervelende punt is dat het gericht is op de gebruikers van het bedrijf; deze verwachten een bericht en zullen dus eerder geneigd zijn om het bericht te vertrouwen dan een willekeurige phising aanval.
Ik denk dat je als partij die zulke belangrijke informatie als handtekening verwerkt, voor meer moet zorgen dan alleen voor beveiliging van het systeem waarin die handtekeningen opgeslagen staan.

Juist in de rol die DocuSign heeft, lijkt mij het essentieel dat je zorgt draagt dat je klantenbestand niet uitlekt of misbruikt kan worden, en moet je helemaal niet willen dat een criminele derde partij toegang krijgt tot je directe communicatiekanaal met je klanten (email in deze).
Waar zie je dat het bedrijf zo slecht beveiligd is? Er is op een systeem ingebroken, dat kan gebeuren.
Het blijft bijzonder, dat een bedrijf dat zich zo bezig houdt met zeer belangrijke persoonlijke handtekeningen zo slecht beveiligd lijkt te zijn.
Dit is nogal kort door de bocht. Er staat niet gespecificeerd hoe deze toegang tot stand gekomen is. Wellicht zijn er verschillende security-lagen doorbroken of hebben ze hulp van binnenuit gehad. Natuurlijk is het iffy maar 100% veilige systemen bestaan niet.
Waarom hebben grote bedrijven die nieuws via email sturen nog niet gekozen voor email-ssl of certificaat. Hierdoor kunnen bijvoorbeeld banken, betaaldiensten, ICT bedrijven, verzekeraars zich onderscheiden. Een groene icoon staat voor veilig en rood als er iets mis is. Dit zou toch te maken moeten zijn?
Waarom hebben grote bedrijven die nieuws via email sturen nog niet gekozen voor email-ssl of certificaat.
Daar is DKIM icm DMARC voor. Dat is een digitale handtekening waarmee je kan controleren of de mail afkomstig is van de geclaimde afzender en dat de mail nog in oorspronkele staat is. (onbewerkt) DMARC is een policy waarmee de bedoelde afzender adviseert wat er met foute mail moet gebeuren: doorlaten (none), verwijderen (reject) of als spam behandelen (quarantine). Dit wordt beoordeeld door de ontvangende mailserver, waardoor de ontvanger zelf hier doorgaans niets van merkt. Hooguit via de spam folder.

Je noemt SSL als oplossing, maar dat is slechts de transport laag. Los van de mail zelf. En ik heb liever dat ze TLS daarvoor gebruiken. ;)

Edit: DMARC uitleg toegevoegd, ontvanger

[Reactie gewijzigd door FvdM op 16 mei 2017 10:28]

DKIM in combinatie met DMARC mag er dan wel zijn maar toch krijg ik nog steeds spam in mijn mailbox. In een week gaat het bij mij om 400 mails die automatisch in de spambox verdwijnen. Ongeveer 10 per dag moet ik handmatig doen. Het email-systeem is lijkt me nog in ontwikkeling. Op een regenachtige zondag maak ik met behulp van een script de boel schoon en dat doe ik eens per half jaar. Mogelijk is er met TLS wat werk te verzetten in combinatie met PKI. Er zal dan wel gezocht moeten worden hoe grote bestanden overgezet gaan worden. Met TLS en PKI is het overzetten van, een attachment, bestanden wel een tijdrovende klus.
Het klinkt alsof je een structureel probleem hebt in je setup. Als je gewoon alles accepteert heb je inderdaad ook spam. Als je je spam filter niet traint met de door jouw ontvangen spam blijft de zooi natuurlijk komen.

DANE/TLSA of PKI (voor een whitelist) brengt daar geen verandering in (spammer zijn de eerste die validatie maatregelen implementeren en hoe kunnen personen niet op de whitelist contact met je opnemen).
Gezien de schade die mailtjes veroorzaken lijkt het systeem een structureel probleem te hebben. Het is kinderlijk eenvoudig om in spam te grossieren. Mogelijk dat ai een oplossing biedt of het zelf, handmatig, white-listen en black-listen. Bedrijven kunnen certificaten aanmaken en verbeterde protocollen ontwikkelen. Vernieuwde protocollen werken soms klakkeloos met het verouderde modellen en zijn hierdoor niet veilig genoeg.
De verwoording is ook wel geestig. Ze hebben het uitdrukkelijk over een separaat systeem: '...that a malicious third party had gained temporary access to a separate, non-core system that allows us to communicate service-related announcements to users via email' (de cursivering is van mij).
Alles om maar te laten zien dat ze enorm hun best doen.
Het is mij alleen onduidelijk hoe een separaat systeem een mail kan versturen; daarvoor heeft het doorgaans verbinding met internet nodig, en is het dus niet meer separaat maar onderdeel van een netwerk. En gesteld dat ze dat heel link en grondig hebben gedaan (het apparaat kan alleen versturen maar niet ontvangen, en dat hebben ze gezekerd door optocouplers (gegarandeerd eenrichting) te gebruiken, ik bedenk maar wat), dan kan dat 'separaat' maar één ding betekenen; er heeft iemand ingebroken om fysiek toegang tot het apparaat te krijgen.
Maar volgens mij heeft de schrijver zich verslikt in het woordje 'separaat'.
Ik denk dat separaat hier betekent dat het systeem geen directe toegang had tot de systemen met klantgegevens. Uiteraard heft dit systeem wel internettoegang.
Kennelijk toch wel, want de hele strekking van het artikel is juist dat er e-mail-adressen van klanten zijn buitgemaakt...
In een bericht op zijn website schrijft het bedrijf dat 'een derde partij tijdelijk toegang heeft verkregen tot een afgescheiden systeem dat ons in staat stelt om dienstmededelingen via e-mail naar klanten te sturen'.
Het is dus een systeem dat losstaat van de bedrijfssystemen en dat enkel gebruikt wordt voor email. Dus die emailadressen waren het enige dat op dat systeem buit te maken was. Maar dus geen inloggegevens, wachtwoorden en andere klantgegevens.

Het blijft slordig natuurlijk, daar niet van. Maar ze hebben kennelijk goed werk gemaakt van het scheiden van de verschillende soorten systemen in het bedrijf.
Is het ook mogelijk om de macro's in Word uit te schakelen? Volgens mij gebruiken bijna alle kwaadaardige Word-bestanden dit en door het uit te schakelen zou je een stuk veiliger zijn lijkt me
Documenten van onbekende bron hebben normaalgezien standaard macro's disabled en zijn in read only modus.

Dus het is niet alleen mogelijk, het is standaard
Ik wist het, wij zijn nog niet zo lang geleden begonnen met dit product met een aantal mensen en alleen die mensen kregen deze phising mail. Vond ik al verdacht, ik heb woensdag (10-5) gebeld met docusign met de vraag of ze gehacked waren, ik werd even in de wacht gezet toen de beste man terug kwam gaf hij aan van niet, toen ik blufte dat ik het gesprek opnam en bevestiging wilde, ging het over van alles behalve die email adressen.
Mijn speculatie is dan ook dat docusign toen al wist dat er gegevens waren gelekt.
Dat dit kan gebeuren is vervelend. Ik kan zelf niet inschatten of dit voorkomen had kunnen worden.
Wat mij wel stoort is dat ik dit incident als eerste hier op Tweakers moet lezen. Als gebruiker had ik natuurlijk direct na de diefstal van de adressen, door Docusign op de hoogte moeten worden gebracht.
Yep, vandaag had 1 van mijn collega's het al.

Ben blij om te zeggen dat al mijn collega's slimme gebruikers zijn en hij gelijk naar mij toe kwam om het na te laten checken.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*