文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

假期“财务礼包”暗藏杀机:DocuSign钓鱼邮件激增,虚假贷款成新诱饵

这些邮件往往以“您有一份待签署的贷款批准文件”“您的年终财务协议已就绪”等措辞开头,附带DocuSign官方Logo、标准邮件模板甚至真实的发件人域名变体(如 no-reply@docusign-support...Forcepoint数据显示,仅2025年12月,此类攻击的日均捕获量较前一季度激增340%,受害者遍布北美、欧洲及亚太地区,其中中小企业主、自由职业者和退休人员成为主要目标。...您已通过我们的快速审核,获得一笔$15,000的无抵押预批贷款。请点击下方按钮完成电子签名,资金将在24小时内到账。[蓝色大按钮:“查看并签署文档”]此优惠有效期仅剩48小时。...阶段3:凭据收割与横向移动窃取的凭据通常被发送至攻击者控制的C2服务器,格式如下:{"timestamp": "2025-12-28T14:23:01Z","email": "ceo@smallbiz.com...“最有效的防御,是让攻击者即使拿到密码也做不了事。”芦笛总结道。六、行业警示:SaaS品牌正在成为网络犯罪的“新制服”DocuSign并非首个被滥用的品牌。

17410

macOS红队实战(二):利用DarwinOps DMG模板绕过Gatekeeper

这个功能之所以值得关注,有几个原因:Gatekeeper 绕过技术现成的、逼真的钓鱼模板模拟当前高级 APT 组织的行为这些模板采用非混淆的 JSON 格式,只要遵循该格式,你就可以自由编辑。...通过插入功能,结合更改窗口大小和位置以及背景图的能力,可以快速轻松地创建复杂且具有迷惑性的 DMG。...这里,我们遇到的是最友好的一种——一个由 Apple 签名并公证的应用程序。然后,他们会看到一个提示框,要求将内容解压到桌面。...以下是一些建议:如果你冒充受害者的 IT 部门,.plist(软方法)是个不错的选择,因为 .plist 文件很常用。如果受害者技术知识有限,拖放操作可能比几次点击更容易。...如果你想发送一个恶意文件——例如,一个需要签名的 PDF——你应该使用这种方法来嵌入你的虚假 PDF 应用程序 (.

9300
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Docusign通过新平台扩展其开发者社区

    数字签名提供商在其首届 Docusign Discover 活动上推出了一套用于创建自定义电子签名扩展的工具和资源。...Docusign 的电子签名软件即服务将企业从缓慢的纸质法律协议中解放出来。但该公司已经超越了这项创新。...“这包括找到合适的文档模板;插入正确的语言。然后可能会就该协议进行协商,并进行可能不会在您从公司购买商品时发生的修订和编辑。...开发者是商业协议不可或缺的一部分 仅在过去 12 个月中,Docusign 用户就提交了超过 12 亿个签名,其中超过 5 亿个签名由开发者构建的 API 集成提供支持。...协议 API: Docusign 现有 API 产品组合(电子签名、Web 表单、管理)的扩展,新增了协议 API,可将智能协议管理平台功能嵌入到外部产品体验中,使开发者能够构建超越电子签名的集成。

    1.1K10

    macOS红队实战:利用DarwinOps DMG模板绕过Gatekeeper

    这一功能颇具价值,原因如下:提供了Gatekeeper绕过技术内置了逼真的现成钓鱼模板能够模拟当前高级APT组织的手法这些配置文件采用未混淆的JSON格式,只要遵循既定格式,你就能自由编辑。...现在我们看到的是最友好的一种——由Apple签名和公证的应用程序。随后,他们会看到一个弹窗,提示将内容解压到桌面。一旦.app被解压出来,它就不再具有隔离属性,意味着Gatekeeper不会被触发。...结论这两种方法并非互斥,而是相辅相成的。以下是一些选择建议:如果你在冒充受害者的IT部门,.plist(软方法)是个不错的选择,因为.plist文件很常见。...如果受害者技术知识有限,拖放操作可能比几次点击更容易上手。如果受害者使用类似Munki的工具,你可以利用拖放方法,通过将文件放到正确的位置来实现提权执行(....如果你想发送一个恶意文件——比如一个需要“签名”的PDF,你应该使用此方法来嵌入伪造的PDF应用(./darwinops --listdmgprofile → 查看 docusign 配置文件)。

    13010

    聚焦“生态化”,e签宝讲好电子签名的“中国故事”

    01 成为中国版的 DocuSign? DocuSign是全球电子签名领域的TOP1,成立于2003年。说起来,中国的本土厂商e签宝成立比他还早一年。然而,在相似的时间点上,两者的命运却截然不同。...往后的时间内,DocuSign一路高歌,在全球市场份额占比达到70%左右,市值最高也曾逼近600亿美元。 这一消息传回国内,迅速引来了各路资本对电子签名赛道的关注——谁会是中国的DocuSign?...也是在这一年,除了竞争者的频繁涌现之外,软件SaaS化的行业趋势也在改写着行业的服务逻辑。e签宝很快就上线了自家的电子签名SaaS平台,并与阿里巴巴达成合作,在支付宝上线电子凭证业务。...法大大发布iTerms合同智审系统,充分结合法务工作场景,覆盖格式、模板和非标合同的审查需求。...那么,对于国内本土电子签名厂商而言,在如此具有想象空间的赛道上,与其追求成为另一个“DocuSign”,不如做好服务、技术、生态以及市场的开拓,讲好电子签名的“中国故事”或许才是正确的出路。

    2.2K10

    国内电子签名如火如荼,为何DocuSign 在美遇到IPO危机?

    DocuSign则是一款诞生于美国硅谷的电子签名解决方案和数字交易管理云平台,能够帮助用户快速创建、获取具有法律效力的电子签名。...此外,微软还拥有强大的技术支持团队和开发者生态社区,这都能为DocuSign在战略合作和获得融资之后,更好地专注于技术与产品解决方案的提升。...例如美国农机巨头迪尔公司,该公司不断聘请开发者和DevOps团队来打造自己的软件和核心技术,他们工作的大部分流程仍需要签名。...但是,DocuSign已经花了数十年时间来树立自己的行业品牌,并不断提高其品牌认知度。假如DocuSign的产品没有这些带有白标的开发者,那么此前做出的一切努力也付之东流。...例如,TD Ameritrade Institutional公司的Bob Mahoney,一直都是电子签名解决方案的倡导者。他提到,公司顾问使用DocuSign API已经有八九年的时间。

    3.3K60

    假期网络钓鱼攻击中DocuSign伪装与虚假贷款诈骗的融合机制分析

    本文聚焦于2025年末至2026年初假期期间出现的一类新型复合型钓鱼攻击:攻击者通过伪造DocuSign电子签名通知邮件,诱导用户点击嵌入链接,进而跳转至高仿真的钓鱼登录页面或下载含恶意宏的文档,最终窃取电子邮件凭证及个人财务信息...在众多钓鱼载体中,DocuSign因其广泛用于电子合同签署,成为攻击者频繁冒充的品牌。合法用户习惯于接收来自DocuSign的邮件以完成法律或商业文件签署,这种信任惯性被恶意利用。...(2)攻击背景与演化特征DocuSign作为全球领先的电子签名平台,日均处理数百万份文档签署请求,其品牌认知度极高。正因如此,自2018年起,DocuSign便成为钓鱼攻击的高频冒充对象。...据观察,攻击邮件通常包含以下要素:(1)主题行使用紧迫性语言,如“紧急:您的$15,000贷款已批准,请24小时内签署”;(2)正文模仿DocuSign标准模板,包含公司Logo、灰色导航栏、文档预览缩略图...邮件正文采用响应式HTML模板,确保在桌面与移动端均呈现专业外观。关键技巧在于使用Base64编码内联DocuSign Logo图像,避免外部资源加载触发安全警告。

    28310

    深入人工智能驱动的协议管理平台Docusign

    新的开发者工具、集成和 AI 辅助洞察使公司更轻松地创建和管理业务协议。...DocuSign 实际上发明了全球数字签名市场,由于这一创新,它已发展成为国际标准。但它已经发展到超越这一阶段。...在过去 20 多年中,我们一直是电子签名的领导者。我们有效地创建了这个类别,当然,还有许多其他参与者进入这个领域。通过这些经验,我们意识到客户需要的不仅仅是签署协议。”...Bonterms 使用开源、标准化的模板为企业业务(包括保密协议 (NDA)、服务级别协议和云条款)简化协议——由专家法律专业人员制定,以减少谈判时间。...完整的文档创建和记录系统 Jin 说,启动业务关系的协议创建涉及很多方面。首先,DocuSign 提供大量文档模板,其中许多模板已针对行业垂直领域进行定制。其次,取决于负责人插入正确的特定语言。

    1.6K10

    macOS红队攻防(二):利用DarwinOps DMG模板绕过Gatekeeper

    这个功能非常有价值,主要体现在以下几个方面:Gatekeeper绕过技术现成的逼真钓鱼模板模拟当前先进的APT组织这些配置文件采用非混淆的JSON格式,你可以自由编辑。...这里我们看到的是最友好的一种——一个经过苹果签名和公证的应用程序。接着,他们会看到一个弹出窗口,提示将内容解压到桌面。...被解压后桌面上的payload结论这两种方法并非互斥,而是互补的。这里有一些建议供参考:如果你在冒充受害者的IT部门,.plist文件(软方法)是个不错的选择,因为.plist文件很常用。...如果受害者技术知识有限,拖放操作可能比几次点击更容易成功。如果受害者使用Munki这类工具,你可以利用拖放方式,通过将文件放到正确的位置来实现高权限执行(....如果你想发送一个恶意文件——例如,一个需要签名的PDF——你应该使用此方法来嵌入你的虚假PDF应用(./darwinops --listdmgprofile → 查看 docusign 配置文件)。

    13210

    面向企业级的SaaS电子签约,如何保障安全性和法律性?

    美国的SaaS电子签约服务企业DocuSign可以说是这个领域的佼佼者,在全球各地有业务分部,并且迅速跨入全球知名独角兽的行列,并且有很多像微软、SAP这样的IT巨头为其注资。...《电子签名法》重点要解决的是数据电文如何等同于传统书面证据这一问题,带有电子签名的数据文件也将具有纸上签名盖章的法律效力,一旦出现交易纠纷,电子签名的文件就可作为法律证据。...其中,签名法第十四条规定:“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”通过这些规定,可以看到符合一定条件的数据电文及电子签名的效力等同于书面形式,可以作为证据使用。...签完之后的合同都会在合同上打个总的数字签名,签名里都会包含企业的保密信息,如果文件的内容被修改,原来的数字签名就会失效,同时也可以保证合同不会被篡改,具有安全性。...即时客户双方在两地,无需传统的纸质合同,都是通过互联网技术,把双方的电子合同嵌入自己签名,或者第三方平台授予客户双方的独立的,唯一的数字签名,从而使交易具有法律效力、安全性。

    2.5K50

    如何开发人事管理系统中的入职管理板块?(附架构图+流程图+代码参考)

    一个良好的入职管理系统能够让员工感受到公司文化的融入,同时也能减少管理者的工作负担,提高工作效率。本文将重点讲解如何开发人事管理系统中的入职管理板块。...功能点:上传并存储个人文件(身份证、学历证书、健康证明等)自动化验证文件格式与内容提供文件的查看和下载功能设置文件的保密权限3.员工合同管理员工合同管理模块主要用于签订、存档员工的劳动合同。...功能点:自动化生成合同模板合同签署(电子签名或线下签署)合同存档与查看合同到期提醒与续签功能三、入职管理业务流程分析入职管理的业务流程通常包括以下几个步骤:入职审批:HR部门或相关负责人审核新员工的入职资料...'文件上传成功'); }) .catch(error => { console.error('文件上传失败', error); });}4.员工合同管理功能开发自动生成合同模板提供电子签名功能...是的,合同管理模块可以集成第三方电子签名服务(如DocuSign),支持在线签署合同。这不仅提高了签署效率,还避免了传统纸质合同签署的繁琐过程。

    1.5K10

    数字化时代,电子签名玩家们如何突围?

    而国内电子签名能够再次发展起来,从某种角度来说,也得益于美国电子签名服务商DocuSign的上市,此时,国内电子签名这个赛道再次被资本关注起来。...就拿DocuSign来说,DocuSign提供的服务主要是在线审批、协议签署及在线交易,与国内电签平台主要服务于依托互联网的行业不同,DocuSign除在制造业、金融、互联网等领域积极拓展,在会计税务、...与DocuSign相反的是,中国电子签名企业都在进行本地化部署,也就是说大多数的企业都在和政府合作。...也就是说,电子签名的发展更多的依赖裂变模式,一个企业使用就会带动另一个企业使用,以此形成裂变。长期以往,电子签名的马太效应只会越来越强,出现赢者通吃的局面。...电子签名和一般的企业级SaaS服务还是有些不一样,它是一个互联网基础设施,有公众属性,是企业和个人都会用到的服务,所以也有另外的路径让公众更快的接受电子签名,就是找到真正的具有社会化应用基础的电子签名场景

    1.7K00

    中美电子签SaaS的异同

    据公开数据显示,过去三年DocuSign的收入年均增速超过40%,远高于其他行业的平均水平;另一方面,DocuSign自身实力强大,在行业中处于龙头地位。...根据东方证券研究所整理的数据显示,目前在全球电子签名市场中,DocuSign占据70%左右的市场份额,其次是Adobe仅占20%的市场份额,只有剩余约10%的市场份额被其他中小公司瓜分。...据36氪研究院发布的《2021年中国电子签名行业研究报告》显示,我国电子签名行业规模由2016年的8.5亿爆发式增长到2020年的108.2亿,年均复合增长率高达66.3%,2020年电子签名的签署次数更是突破了...公开资料显示,上上签99%的营收来自SaaS服务订阅,几乎不涉足定制化的业务,这与Docusign比较接近;而e签宝则在获客能力方面,与Docusign有相近之处。...回归 随着行业参与者的日益增多,行业竞争进一步加剧,国内电子签行业也开始呈现出新的发展趋势。 其一,业内企业普遍从电子签名的单一服务,向覆盖电子合同全生命周期的全链条服务延伸。

    2.5K30

    回拨钓鱼攻击中品牌仿冒的技术机制与防御路径研究

    攻击者频繁仿冒微软、PayPal、DocuSign、Geek Squad等高信任度企业品牌,通过伪造账单、服务异常通知或法律文书类邮件,诱导用户主动拨打指定客服电话。...文章重点还原了无正文PDF附件邮件的投递机制、恶意QR码的跳转逻辑,并通过Python脚本模拟攻击者如何自动化生成仿冒邮件模板。...关键词:回拨钓鱼;品牌仿冒;社会工程;PDF附件;QR码;邮件安全1 引言随着企业数字化转型加速,微软Office 365、PayPal支付、DocuSign电子签名及Geek Squad技术支持等服务已成为商业运营和个人日常不可或缺的基础设施...这种设计具有双重目的:其一,规避基于自然语言处理(NLP)的钓鱼检测引擎,因无文本内容可供分析;其二,利用Outlook、Apple Mail等客户端默认启用PDF预览的功能,使伪造内容在收件箱内直接可见...24小时内签署”);显眼的联系电话(格式为+1 (800) XXX-XXXX,模仿美国免费客服号);可选的QR码,扫码后跳转至伪造登录页。

    22810

    基于社会工程学的DocuSign钓鱼攻击在医疗行业的渗透机制与防御策略研究

    摘要:摘要: 随着医疗行业数字化办公的深入,电子签名平台DocuSign已成为攻击者进行网络钓鱼的首选伪装目标。...该攻击伪装成佛罗里达州卫生局(Florida Department of Health)的执照更新通知,利用DocuSign的名义诱导受害者点击。...心理诱导:邮件利用了受害者即将面临执照更新的时间节点,制造了职业上的紧迫感。伪装技术:邮件采用了DocuSign标准的蓝色布局,并包含一个醒目的“Review Document”(查看文档)黄色按钮。...熟悉性(Familiarity):使用DocuSign的UI元素,降低受害者的戒备心。3. 攻击链路的深度逆向分析为了防御此类攻击,我们需要模拟攻击者的视角,理解其构建攻击链的逻辑。...凭证收割:受害者输入邮箱账号密码后,数据被发送至攻击者的C2(命令与控制)服务器,随后受害者被重定向至真实的DocuSign页面,以掩盖攻击痕迹。4.

    10210

    利用邮件安全网关信任机制的供应链钓鱼攻击分析与防御重构

    攻击者通过仿冒DocuSign电子签名服务与Microsoft SharePoint文件共享平台,利用高度逼真的社会工程学话术诱导目标用户。...1 引言随着数字化转型的深入,电子签名与云端文件协作已成为现代企业业务流程中不可或缺的环节。...DocuSign与Microsoft SharePoint作为该领域的标杆产品,其品牌信誉被广泛用于商务沟通中。然而,这也使其成为网络钓鱼攻击者首选的伪装对象。...这种机制原本旨在保护用户点击链接时免受即时威胁,但在本案例中,却被攻击者异化为建立信任的工具。此次事件波及范围极广,重点针对金融行业,显示出攻击者具有明确的行业情报与高度的组织化特征。...邮件正文高度模仿DocuSign和SharePoint的官方通知模板,包含逼真的Logo、排版风格以及紧迫感的话术(如“请在24小时内签署以避免法律后果”)。

    18310

    从遍寻CEO无果到市值60亿美元,小议电签独角兽DocuSign

    而稍早前,DocuSign也曾多次上调公司股票的价格预期,在本次IPO中,DocuSign成功从投资者那里募集了6.29亿美元的资金。...DocuSign CFO Michael Sheridan说道,公司预测自身未来五年内的营业利润率可能会达到20%到22%,这对于投资者来说也是一个利好消息。...显然,这提振了DocuSign早期投资者的士气,他们中有一些早在十余年前就对DocuSign进行了投资,比如均参与了DocuSign整个A系列的融资Frazier Technology Ventures...从成立时间上来说,DocuSign创建于互联网泡沫破灭后的2003年,因此它能够生存下来并最终实现成功实现上市更显得难能可贵,同时公司还要面临着大型科技公司给予的压力,比如DocuSign早期的一家主要竞争者...就当前市场而言,DocuSign所面对的最大挑战者包括一些全新的创业公司以及像Adobe这样的老对手。但从目前情况来看,无论是在营收还是资金投入方面,DocuSign的竞争对手距离它仍具有较大的距离。

    92630

    网络钓鱼对民生领域的深度渗透与系统性危害

    更值得注意的是,攻击者正有意识地将民生相关服务作为主要仿冒对象——Microsoft、Docusign、Adobe、PayPal和LinkedIn成为被冒用最多的五大品牌,这些平台普遍涉及日常办公、电子签约...一、钓鱼攻击的技术演化:AI驱动下的规模化与个性化1.1 从静态模板到动态生成:AI重构钓鱼内容生产链传统钓鱼邮件多依赖固定模板,通过批量替换关键词(如用户名、公司名)进行广撒网式攻击。...多态性钓鱼的核心在于:攻击者发送大量内容高度相似但细节各异的邮件,以规避基于“已知恶意特征”的检测机制。例如,同一主题的钓鱼邮件可能仅在发件人显示名、附件名称、链接跳转路径或邮件签名处存在微小差异。...这种信任危机对依赖线上沟通的现代社会治理构成根本性挑战。3.3 数据泄露的长期风险:身份盗窃与精准诈骗民生领域钓鱼攻击的最大危害之一在于其获取的数据具有极高的再利用价值。...根本原因在于,传统模型假设攻击具有“可重复模式”,而AI生成的攻击本质上是“一次性”的。每封邮件都是独特的,无法通过历史样本进行有效泛化。

    20410

    伪装成“DocuSign”的钓鱼邮件席卷法律界:一场针对信任链的精准打击

    过去三年,全球法律、金融、医疗等高信任度行业已成为钓鱼攻击的“黄金靶场”。而此次佛罗里达事件,不仅暴露了社会工程学攻击的进化速度,更揭示了一个残酷现实:攻击者正在系统性地利用“制度性信任”作为突破口。...“这类攻击的关键不在于技术多高深,而在于对人类心理弱点的精准拿捏。”公共互联网反网络钓鱼工作组技术专家芦笛指出,“法律从业者每天处理大量电子签名请求,对DocuSign这类平台有天然依赖。...攻击者正是利用这种‘工作惯性’制造认知盲区。”事实上,佛罗里达州律师协会明确声明:从未使用DocuSign向会员发送任何通知。这一细节恰恰成为识别骗局的核心线索。...,若是则返回正常页面;凭据直传C2服务器:用户提交表单后,数据不经本地存储,直接通过XHR或Fetch API加密上传至攻击者控制的服务器。...当人们习惯于相信来自权威机构的邮件、相信电子签名平台的安全性、相信工作流程的稳定性时,攻击者便悄然潜入。网络安全不是技术问题,而是信任管理问题。

    24910
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券