Wallarm

锁定应用程序与API安全性的资安业者Wallarm本周警告，黑客正在滥用DocuSign的Envelopes API大量寄送假发票，企业稍一不慎就可能沦为受害者。

DocuSign为一专门提供电子签名及数位交易管理服务的业者，协助企业与个人在网络上完成文档的签署与管理，并在美国那斯达克股市挂牌。Envelopes API是DocuSign所开发的核心API，能够用来创建、发送与管理信封，此信封内含文档、收件人信息及签署指导，以自动化整个签署流程。

然而，Wallarm发现，黑客使用真实的DocuSign帐户及范本来冒充诸如Norton等合法公司，并大量寄出伪造的发票，以欺骗受害者付款。

黑客先创建一个合法且付费的DocuSign帐户，接着模仿合法公司的发票范本，再大量寄出，一旦受害者签署了该文档，黑客就能利用该签名档来请款。危险的是，由于发票是直接自DocuSign平台发送的，所以并不会被企业的过滤机制拦截。

Wallarm表示，相关的攻击风险不仅限于DocuSign，也涉及其它电子签名服务，建议组织应该要验证寄件人的凭证，多重审核与财务有关的请求，即时教育训练，以及监控异常情况等。