文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

假期“财务礼包”暗藏杀机:DocuSign钓鱼邮件激增,虚假贷款成新诱饵

您已通过我们的快速审核,获得一笔$15,000的无抵押预批贷款。请点击下方按钮完成电子签名,资金将在24小时内到账。[蓝色大按钮:“查看并签署文档”]此优惠有效期仅剩48小时。...该站点通常具备以下特征:像素级UI克隆:使用真实DocuSign登录页的HTML/CSS截图重建界面。动态内容加载:通过JavaScript注入当前受害者邮箱(从URL参数获取),提升真实感。...他举例说明:使用 Evilginx2 构建的钓鱼代理,可完整模拟DocuSign的OAuth流程,用户在钓鱼页输入账号密码+短信验证码后,攻击者立即用这些凭证登录真实站点,获取有效会话Cookie,全程无需知道密码明文...芦笛提出了“三层防御体系”:第一层:用户行为准则(User Hygiene)绝不点击邮件中的“操作按钮”:应手动打开浏览器,输入 docusign.com 官网地址,登录后查看待办事项。...对此,芦笛呼吁SaaS厂商承担更多责任:“除了加强自身域名保护(如BIMI标准),还应提供‘文档真实性验证API’,允许第三方应用校验签名请求真伪。信任不能只靠用户肉眼分辨。”

15610

国内电子签名如火如荼,为何DocuSign 在美遇到IPO危机?

DocuSign则是一款诞生于美国硅谷的电子签名解决方案和数字交易管理云平台,能够帮助用户快速创建、获取具有法律效力的电子签名。...“DocuSign设计了一款精美的应用平台,能够为客户提供良好的用户体验,但是在如今的数字商业时代,真正卖的产品是应用程序接口API,”DocuSign开发者营销副总裁Marie Huwe提到。...因此,首席营销官Brad Brooks和他的团队构建了一个中间地带,这样DocuSign的API能使用户集成其签名的功能,而又无需换掉DocuSign自己的图标。...例如,TD Ameritrade Institutional公司的Bob Mahoney,一直都是电子签名解决方案的倡导者。他提到,公司顾问使用DocuSign API已经有八九年的时间。...通过使用定制化的DocuSign解决方案,公司顾问也可以开放个人账户,连接到如CRM系统等其他数据资源。 “API已经取得了很大进步,我们正在利用API将元数据连接到自己的平台,”Mahoney声称。

3.3K60
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    假期网络钓鱼攻击中DocuSign伪装与虚假贷款诈骗的融合机制分析

    本文聚焦于2025年末至2026年初假期期间出现的一类新型复合型钓鱼攻击:攻击者通过伪造DocuSign电子签名通知邮件,诱导用户点击嵌入链接,进而跳转至高仿真的钓鱼登录页面或下载含恶意宏的文档,最终窃取电子邮件凭证及个人财务信息...据观察,攻击邮件通常包含以下要素:(1)主题行使用紧迫性语言,如“紧急:您的$15,000贷款已批准,请24小时内签署”;(2)正文模仿DocuSign标准模板,包含公司Logo、灰色导航栏、文档预览缩略图...关键技巧在于使用Base64编码内联DocuSign Logo图像,避免外部资源加载触发安全警告。...(3.2)钓鱼页面仿冒钓鱼页面是攻击成败的关键。攻击者通常采用两种方式构建:一是直接爬取真实DocuSign登录页的HTML/CSS资源并稍作修改;二是使用前端框架(如React)重建界面。...若业务必需启用宏,应强制使用数字签名验证。

    23410

    Docusign通过新平台扩展其开发者社区

    Docusign 过去 21 年的成功建立在开发者使用公司 API 创建自定义集成的基础上。凭借其新平台,开发者现在有更多机会构建扩展和插件,从而提高定制和集成能力。...开发者是商业协议不可或缺的一部分 仅在过去 12 个月中,Docusign 用户就提交了超过 12 亿个签名,其中超过 5 亿个签名由开发者构建的 API 集成提供支持。...协议 API: Docusign 现有 API 产品组合(电子签名、Web 表单、管理)的扩展,新增了协议 API,可将智能协议管理平台功能嵌入到外部产品体验中,使开发者能够构建超越电子签名的集成。...能够从 Docusign 获取数据并为这些其他商业应用程序提供支持,我认为这对我们的企业用户来说非常重要,”Jin 说。...超过 15,000 家公司使用 DocuSign 的服务(截至 2023 年),使其成为电子签名领域的领先提供商。

    1K10

    【每日随笔】电子签名 ( 下载 “e 签保“ 应用 | 使用 手机号 + 短信验证码 登录 | 发起签署 | 签名 | 获取签名后的 PDF 文件及出证信息 )

    文章目录 一、下载 "e 签保" 应用 二、使用 手机号 + 短信验证码 登录 三、发起签署 四、签名 五、获取签名后的 PDF 文件及出证信息 一、下载 “e 签保” 应用 ---- 由于疫情原因 ,...学校封校 , 有一些答辩文件需要导师签署 , 从网上找了一家 " 电子签名 " 平台 , 这里选择使用 " e 签保 " ; 应用市场 中 , 搜索 " e 签保 " 应用 , 下载该软件 : 二...、使用 手机号 + 短信验证码 登录 ---- 进入后 , 选择 " 短信登录 " , 输入 手机号 + 验证码 , 登录应用 ; 三、发起签署 ---- 进入后 , 点击 " 发起签署 " 按钮..., 提前将 Word 文档拷贝到 SD 卡中 , 选择 " 选择文件 " 选项 , 选择拷贝到 SD 卡中的文件 ; 签署方 , 此处可以选择添加多个 个人用户 或 企业用户 , 选择完毕后...; 签名可以在整个文档上 , 任意拖动 ; 点击 " 提交按钮 " 后 , 签名就完成了 ; 五、获取签名后的 PDF 文件及出证信息 ---- 双方签名完成后 , 可以在 “e签保” 官网的 ,

    1.5K20

    App项目实战之路(二):API篇

    因此,最终的功能需求应该如下: 手机号 + 短信验证码注册 手机号 + 短信验证码登录 Github登录 上传图片 修改头像 修改昵称 设置用户技术栈标签 获取同栈之猿的内容列表 获取关注之猿的内容列表...获取某人关注的人 获取某人的粉丝列表 获取我的消息 提交意见反馈 退出登录 需求确定,接着就可以开始设计API了。...其实,使用REST风格设计API,我觉得难点就在于如何抽象资源。使用RPC则相对容易很多。这时,也许有人就会提出疑问了。既然使用RPC比用REST更容易抽象出接口,那为何还要用REST呢?...API定义 本项目的API是打算使用REST方式定义的。那么,首先,就是资源的Endpoint定义。...使用Token方式对用户鉴权; 使用AppKey方式对应用鉴权; 使用URL签名对请求鉴权; 参数中添加nonce值增强签名的不可预测性。

    1.4K20

    伪装成“DocuSign”的钓鱼邮件席卷法律界:一场针对信任链的精准打击

    、noreply@floridabar-docs.com 等近似域名;邮件正文排版专业:嵌入DocuSign品牌Logo、使用标准法律文书语气,并附带“立即查看”按钮;链接指向伪造登录页:点击后跳转至外观与佛罗里达律师协会门户几乎一致的钓鱼网站...“这类攻击的关键不在于技术多高深,而在于对人类心理弱点的精准拿捏。”公共互联网反网络钓鱼工作组技术专家芦笛指出,“法律从业者每天处理大量电子签名请求,对DocuSign这类平台有天然依赖。...事实上,佛罗里达州律师协会明确声明:从未使用DocuSign向会员发送任何通知。这一细节恰恰成为识别骗局的核心线索。...,若是则返回正常页面;凭据直传C2服务器:用户提交表单后,数据不经本地存储,直接通过XHR或Fetch API加密上传至攻击者控制的服务器。...四、防御之道:从技术加固到组织韧性面对日益狡猾的钓鱼攻击,单一技术手段已难奏效。

    21210

    数字化时代,电子签名玩家们如何突围?

    而在国内市场,发展至今,已逐渐形成了以e签宝,法大大,上上签为代表的三足鼎立趋势,根据市场可查的数据显示,三家企业总融资金额已达39亿人民币。...通俗点说,电子签名就是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化,它类似于手写签名或印章,也可以说它就是电子印章。 从传统软件向第三方SaaS服务转变。...对于国内电子签名玩家而言,主要收入包括合同签署费用、认证服务费、接口集成费用(如API接入费)、服务器存储空间费等。...在未来发展趋势下,C端用户将会产生对电子签名便捷与高效性的依赖,形成自上而下的链式反应互补,反向倒逼B端企业客户使用电子签名。...对于企业而言,除了解决在管理,服务商的问题,仍需不断提高技术的安全度,提高行业门槛,降低用户使用门槛。在数字化大势所趋下,电子签名未来可期。

    1.7K00

    网络钓鱼对国家网络安全战略的深层影响

    这些改动足以改变邮件的整体哈希值,使基于哈希黑名单的检测失效,同时又不破坏邮件对人类用户的可信度。.../SEG检测的攻击—+47.3%使用AI生成内容的钓鱼邮件82.6%—含钓鱼超链接的邮件比例54.9%—含附件的邮件比例25.9%—这些数据清晰表明,网络钓鱼已进入“AI赋能、多态演化、供应链渗透”的新阶段...其原因在于这些系统多采用基于签名和信誉的检测逻辑,而AI驱动的多态钓鱼通过微小扰动即可规避。...为说明边界防御的局限性,可模拟一个典型的钓鱼邮件绕过场景。假设攻击者使用Google Sites创建一个伪造的Docusign登录页,并通过Gmail发送邮件。...附件动态沙箱:对Office文档、PDF等启用无头浏览器或API钩子,在隔离环境中执行宏或JavaScript,监控其是否尝试连接C2服务器。

    22210

    深入人工智能驱动的协议管理平台Docusign

    DocuSign 实际上发明了全球数字签名市场,由于这一创新,它已发展成为国际标准。但它已经发展到超越这一阶段。...IAM 于今年早些时候推出,处理上述所有内容,并添加AI 驱动的见解和无代码工作流程,业务线用户可以使用这些工作流程来简化业务流程。...使用Navigator仪表板用户界面 (UI) 提取可操作的见解,将锁定在静态文档中的关键数据浮出水面,以便更好地做出决策。...完整的文档创建和记录系统 Jin 说,启动业务关系的协议创建涉及很多方面。首先,DocuSign 提供大量文档模板,其中许多模板已针对行业垂直领域进行定制。其次,取决于负责人插入正确的特定语言。...使用此功能,用户还可以根据简单的指令生成新的语言,提出具体的合同问题并获得即时见解——所有这些都在Microsoft Word文档中。

    1.4K10

    中美电子签SaaS的异同

    根据东方证券研究所整理的数据显示,目前在全球电子签名市场中,DocuSign占据70%左右的市场份额,其次是Adobe仅占20%的市场份额,只有剩余约10%的市场份额被其他中小公司瓜分。...据36氪研究院发布的《2021年中国电子签名行业研究报告》显示,我国电子签名行业规模由2016年的8.5亿爆发式增长到2020年的108.2亿,年均复合增长率高达66.3%,2020年电子签名的签署次数更是突破了...实际上,除了这些“表面”的相似之外,中美在国情、用户习惯等方面存在的现实差异,让中国电子签龙头与美国龙头之间存在着很大的差别。 首先,是用户习惯存在差别。...而接受度不高带来的后果,就是中国SaaS企业需要付出更多的成本用于获客,甚至有企业为“讨好”第三方企业,私自将本应存放于电子签平台的个人用户信息,放置于第三方企业之中,从而让平台的合规性大打折扣,用户信息泄露问题层出不穷...为了进一步提升自身服务客户的能力,各大电子签龙头企业纷纷通过开放API集成方式以及融入巨头生态等方式,来达到提升自身生态能力的目的。

    2.5K30

    面向企业级的SaaS电子签约,如何保障安全性和法律性?

    从目前来看,美国是世界上最早授权使用电子签名的国家,相比以美国为代表的国外电子签约市场,我国的SaaS电子签约市场正处于婴儿时期。...不过,由于受传统观念的影响,很多用户并不敢轻易相信并且使用电子签名,但是自己的公司或个人隐私不能受到法律保护,又怕被泄露,缺乏安全性,很难对此做到信任使用。...其中,签名法第十四条规定:“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”通过这些规定,可以看到符合一定条件的数据电文及电子签名的效力等同于书面形式,可以作为证据使用。...例如,美国SaaS电子签约领域的著名独角兽DocuSign,DocuSign是采用用户加密认证的方法,绑定特定的IP地址登录账号,保证用户的数据安全。...并且所有保存在DocuSign的数字文件都使用了防篡改技术。

    2.4K50

    回拨钓鱼攻击中品牌仿冒的技术机制与防御路径研究

    研究表明,回拨钓鱼的成功依赖于对合法业务流程的高度模仿与对用户心理弱点的精准利用,传统基于内容检测的反钓鱼机制已难以应对,亟需构建融合行为分析与上下文感知的纵深防御体系。...关键词:回拨钓鱼;品牌仿冒;社会工程;PDF附件;QR码;邮件安全1 引言随着企业数字化转型加速,微软Office 365、PayPal支付、DocuSign电子签名及Geek Squad技术支持等服务已成为商业运营和个人日常不可或缺的基础设施...这些品牌因其高可靠性与广泛使用,在用户心智中建立了深厚的信任基础。然而,这种信任正被网络犯罪分子系统性滥用。...这些技术细节表明,攻击者已深入理解现代邮件系统的交互机制与用户行为习惯。...当用户使用手机相机扫描时,自动跳转至伪造的Microsoft 365或Dropbox登录页面,进一步窃取凭证。

    20610

    当 OpenClaw 遇见 httpcat:用 IM 打造智能文件管理新范式

    而 httpcat,作为一款轻量级的 HTTP 文件传输服务,提供了完整的 REST API 和 AK/SK 签名认证机制,让 AI 助手、脚本和 CI/CD 管道可以安全地操作文件系统。...当这两者相遇,会碰撞出怎样的火花?本文将带你探索一种全新的智能文件管理范式——通过 AK/SK 签名认证,让 OpenClaw 直接调用 httpcat 的所有 REST API。...MCP 原生支持9 Tools AK/SK 签名认证HMAC-SHA256 签名,脚本/CI/AI 安全调用 REST API完整的文件管理 API 统计面板上传下载数据一目了然 二、应用场景场景 1...5.3 配置 OpenClaw 通过 AK/SK 签名认证调用 httpcat这是最关键的一步——让 OpenClaw 能通过 AK/SK 签名认证的 REST API 操作 httpcat。...httpcat 的所有 REST API。

    77574

    DRF JWT认证(二)

    DRF JWT认证(二) 上篇中对JWT有了基本的认知,这篇来略谈JWT的使用 签发:一般我们登录成功后签发一个token串,token串分为三段,头部,载荷,签名 1)用基本信息公司信息存储json...字典,采用base64算法得到 头字符串 2)用关键信息存储json字典,采用base64算法得到 荷载字符串,过期时间,用户id,用户名 3)用头、体加密字符串通过加密算法+秘钥加密得到 签名字符串...+ 第二段 + 加密方式和秘钥得到一个加密串,与第三段 签名字符串 进行比较,通过后才能代表第二段校验得到的user对象就是合法的登录用户 JWT可以使用如下两种: djangorestframework-jwt...方法通过传入的用户名和密码处理获取当前用户,签发了token 认证源码分析 # 视图类内认证类搭配权限类使用 authentication_classes = [JSONWebTokenAuthentication...不携带token的情况 总结 从请求头中获取token,格式是HTTP_KEY,key要大写 认证token串没有问题,返回用户信息从载荷中获取,本质是用户信息通过base64编码到token串的第二段载荷中

    1.5K20

    开发 | 手把手,教你为小程序添加「上传图片」功能

    作者:goodspeed 知晓程序注: 很多小程序都为用户提供图片上传功能。这时候,使用一些「对象存储」云服务,也许是最快、最经济的选择。 那么,小程序该如何使用这类服务呢?...在控制台「个人 API 密钥」页面里,获取 AppID、SecretID、SecretKey 等内容。 编写一个请求签名算法程序(或使用任何一种服务端 SDK) 计算签名,调用 API 执行操作。...我们使用 SDK 开发,只需要大致了解这个流程就行。在 SDK 中已包含签名的实现,我们只需要调用 SDK 中的方法即可。...生成签名的接口 在之前的文章中,我介绍过,我在服务端使用 sanic 框架和 swagger_py_codegen 生成 Rest API。...为了完成签名生成 API,我们需要先在文档中添加 API 的相关描述。 ? 这个接口我们要求登录才能调用。

    3.2K20

    百度:人脸登录集成

    用户操作时,需要指定uid的映射信息(如输入用户名),这样就需要通过用户名先获取uid。当然也可以第一次登录后,把uid或用户名保存在端上,后面登录跳过用户获取uid的过程。...AIP开放平台使用 OAuth2.0 授权调用开放API,调用API(如:人脸注册、人脸识别、人脸认证接口)时必须在URL中带上accesss_token参数,获取Access Token的参见http...此接口入参中需要指定uid,但能解决同一个人注册多用户的问题。这样就需要通过用户名先获取uid。当然也可以第一次登录后,把uid或用户名保存在端上,后面登录跳过用户获取uid的过程。...2.1.4 生成token 刚才所创建的应用在调用开放平台API之前,首先需要获取Access Token(用户身份验证和授权的凭证)您需要使用创建应用所分配到的AppID、API Key及Secret...A:license是离线人脸检测使用的。使用在线API(人脸注册、人脸识别、人脸认证)需要使用access_token,而access_token需要AK/SK获取。

    2.3K50

    利用邮件安全网关信任机制的供应链钓鱼攻击分析与防御重构

    攻击者通过仿冒DocuSign电子签名服务与Microsoft SharePoint文件共享平台,利用高度逼真的社会工程学话术诱导目标用户。...1 引言随着数字化转型的深入,电子签名与云端文件协作已成为现代企业业务流程中不可或缺的环节。...激活阶段:攻击者监控邮件投递状态,一旦确认邮件已进入用户收件箱,立即激活钓鱼页面,将其内容替换为完整的凭证窃取界面。交互阶段:用户收到邮件,看到熟悉的网关重定向链接,点击访问。...自动化剧本(Playbook):当检测到恶意落地页时,自动化系统应立即触发响应流程:在网关侧全局阻断该原始URL,在邮件系统中撤回或标记所有包含该链接的邮件,并强制重置已点击用户的凭证。...它使用了requests库进行HTTP请求,并利用BeautifulSoup和简单的启发式规则来识别仿冒登录页。

    12110

    OAuth 详解 什么是 OAuth?

    为了为网络创建更好的系统,为单点登录 (SSO) 创建了联合身份。在这种情况下,最终用户与其身份提供者交谈,身份提供者生成一个加密签名的令牌,并将其交给应用程序以对用户进行身份验证。...公司需要以允许许多设备访问它们的方式保护它们的 REST API。在过去,你会输入你的用户名/密码目录,应用程序会直接以你的身份登录。这就产生了委托授权问题。...OAuth 是 REST/API 的委托授权框架。它使应用程序能够在不泄露用户密码的情况下获得对用户数据的有限访问(范围)。它将身份验证与授权分离,并支持解决不同设备功能的多个用例。...您正在做的是使用刷新令牌获取新的访问令牌,并且访问令牌通过网络访问所有 API 资源。每次刷新访问令牌时,您都会获得一个新的加密签名令牌。密钥轮换内置于系统中。 OAuth 规范没有定义令牌是什么。...id_tokenOpenID Connect (OIDC) 使用新的客户端签名和UserInfo获取用户属性的端点扩展 OAuth 2.0。

    7.2K20

    开发中需要知道的相关知识点:什么是 OAuth?

    为了为网络创建更好的系统,为单点登录 (SSO) 创建了联合身份。在这种情况下,最终用户与其身份提供者交谈,身份提供者生成一个加密签名的令牌,并将其交给应用程序以对用户进行身份验证。...公司需要以允许许多设备访问它们的方式保护它们的 REST API。在过去,你会输入你的用户名/密码目录,应用程序会直接以你的身份登录。这就产生了委托授权问题。...OAuth 是 REST/API 的委托授权框架。它使应用程序能够在不泄露用户密码的情况下获得对用户数据的有限访问(范围)。它将身份验证与授权分离,并支持解决不同设备功能的多个用例。...您正在做的是使用刷新令牌获取新的访问令牌,并且访问令牌通过网络访问所有 API 资源。每次刷新访问令牌时,您都会获得一个新的加密签名令牌。密钥轮换内置于系统中。 OAuth 规范没有定义令牌是什么。...id_tokenOpenID Connect (OIDC) 使用新的客户端签名和UserInfo获取用户属性的端点扩展 OAuth 2.0。

    2.6K40
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券