1. Il fenomeno: cos’è successo
È stata rilevata una campagna di phishing che utilizza il brand di DocuSign, il noto servizio di firma digitale e gestione documentale, per indurre i destinatari ad aprire allegati o cliccare su link malevoli. L’email in questione è arrivata all’indirizzo staff@docsnet.it con mittente info@garciaspawnshop.com, un dominio privo di qualsiasi relazione con DocuSign.
Il messaggio simula in modo convincente la grafica ufficiale di DocuSign, segnalando la disponibilità di una presunta fattura da scaricare tramite un pulsante “Download Invoice”. In realtà, l’obiettivo dell’attaccante è uno dei seguenti: raccogliere credenziali, installare malware o indurre un pagamento fraudolento.
| ⚠ QUESTA EMAIL È FALSA — NON CLICCARE SU NESSUN LINK Il mittente reale è info@garciaspawnshop.com — non ha nulla a che fare con DocuSign. DocuSign non invia fatture non richieste via email con allegato PDF. Il link “Download Invoice” può portare a siti di furto credenziali o download di malware. Non aprire eventuali allegati PDF presenti nel messaggio. |
2. Analisi tecnica dell’email fraudolenta
2.1 Mittente contraffatto
L’indirizzo del mittente reale (info@garciaspawnshop.com) non appartiene a DocuSign né a nessun provider di servizi di firma digitale. Questo è il primo e più evidente segnale di frode. Nonostante ciò, la visualizzazione grafica del messaggio riproduce fedelmente il logo e i colori di DocuSign, puntando a ingannare chi non controlla con attenzione l’intestazione tecnica.
2.2 Indirizzo di risposta sospetto
Il campo “Rispondi a” è impostato su yashing2@netvigator.com, un account di posta generica completamente estraneo a DocuSign. Questa tecnica è comunemente usata per intercettare eventuali risposte della vittima senza che il dominio di invio risulti compromettente.
2.3 Struttura del messaggio
Il corpo dell’email contiene elementi tipici delle campagne di social engineering:
- Riferimento a una fattura con ID univoco (F4YCZH6E03U) per creare un’apparenza di autenticità
- Scadenza imminente (“Expires: May 20, 2026, 11:59 PM ET”) per creare urgenza e ridurre il tempo di riflessione della vittima
- Pulsante chiamata all’azione (“Download Invoice”) con link che punta a un sito esterno non verificato
- Footer con avvertenze legittime copiate da comunicazioni reali DocuSign, per aumentare la credibilità
2.4 Possibili conseguenze del click
Cliccare sul pulsante o aprire un eventuale allegato PDF può comportare:
- Reindirizzamento verso una pagina di login contraffatta per il furto delle credenziali aziendali o Microsoft 365
- Download automatico di malware (trojan, ransomware, infostealer) sul dispositivo
- Installazione di software di accesso remoto (RAT) per il controllo del PC
- Avvio di una truffa BEC (Business Email Compromise) con richieste di bonifici fraudolenti
3. Come riconoscere un’email DocuSign contraffatta
Le email legittime di DocuSign rispettano sempre alcune caratteristiche precise. Ecco i principali indicatori da verificare prima di qualsiasi azione:
- Il mittente deve essere sempre noreply@docusign.net o un sottodominio @docusign.com — mai un dominio generico o personale
- DocuSign non allega PDF direttamente: i documenti sono sempre accessibili tramite il portale sicuro previa autenticazione
- I link devono puntare esclusivamente a dominio docusign.com o docusign.net — verificare passando il mouse sul pulsante senza cliccare
- Non si riceve mai una fattura “proveniente da uno sconosciuto” tramite DocuSign senza una precedente trattativa commerciale
- Il campo “Rispondi a” di email DocuSign legittime corrisponde sempre a indirizzi @docusign.com
4. Cosa fare e cosa non fare
| ✔ COSA FARE | ✘ COSA NON FARE |
| Segnalare immediatamente l’email al reparto IT | Non cliccare su nessun link o pulsante nell’email |
| Usare il tasto ‘Segnala phishing’ del client di posta | Non aprire allegati PDF o altri file inclusi |
| Verificare il mittente reale nell’intestazione tecnica | Non inserire credenziali in pagine aperte da questo link |
| Eliminare il messaggio dopo la segnalazione | Non rispondere al mittente né al campo ‘Rispondi a’ |
| Avvisare i colleghi se si riceve lo stesso messaggio | Non inoltrare il messaggio ad altri colleghi |
| Contattare direttamente DocuSign via canali ufficiali in caso di dubbio | Non considerare attendibile il messaggio anche se la grafica sembra autentica |
5. Se hai già cliccato sul link
Se hai già interagito con il link o aperto un allegato, agisci immediatamente:
- Disconnetti immediatamente il computer dalla rete (disabilita Wi-Fi e scollega il cavo di rete)
- Non spegnere il PC: la memoria potrebbe contenere tracce utili per l’analisi forense
- Contatta il reparto IT con priorità massima
- Se hai inserito credenziali, il reparto IT procederà alla modifica immediata delle password da un dispositivo pulito
- Se il dispositivo mostra comportamenti anomali (lentezza, processi sconosciuti, finestre popup), segnalalo
6. Il contesto: perché DocuSign è un bersaglio frequente
DocuSign è uno dei servizi più utilizzati in ambito aziendale per la firma di contratti, ordini di acquisto e documenti sensibili. Proprio per questo motivo i criminali informatici lo sfruttano come esca: il destinatario che riceve una notifica DocuSign è abituato ad aspettarsi documenti importanti e tende ad agire senza riflettere.
Negli ultimi anni le campagne di phishing a tema DocuSign si sono fatte sempre più sofisticate, con messaggi graficamente identici agli originali e persino con nomi reali di mittenti rubati da precedenti violazioni di dati. Il livello di ingegneria sociale applicato a questi attacchi richiede una soglia di attenzione costantemente elevata da parte di tutto il personale.
7. Conclusione
La sicurezza informatica aziendale dipende in larga misura dal comportamento di ogni singolo utente. Un click inconsapevole può compromettere interi sistemi aziendali, causare perdite economiche significative e bloccare le operazioni per giorni o settimane.
Il reparto IT è a disposizione per qualsiasi verifica, segnalazione o chiarimento. Non esitate a contattarci prima di interagire con qualsiasi email sospetta: è sempre meglio fare una domanda in più che affrontare le conseguenze di un incidente informatico.