DocuSign-Welle, Phishing-Attacken

DocuSign-Welle: Neue Phishing-Attacken über vertrauenswürdige Plattformen

05.12.2025 - 02:59:12

DocuSign-Welle: Neue Phishing-Attacken über vertrauenswürdige Plattformen - Foto: über boerse-global.de
DocuSign-Welle: Neue Phishing-Attacken über vertrauenswürdige Plattformen - Foto: über boerse-global.de

Eine ausgeklügelte Angriffswelle missbraucht die Infrastruktur von DocuSign selbst, um Sicherheitsfilter auszuhebeln. Cyberkriminelle setzen auf “Living off Trusted Sites” – und nutzen dabei die Vertrauenswürdigkeit etablierter Dienste als Waffe.

Innerhalb von nur 72 Stunden haben Sicherheitsforscher und Behörden eine koordinierte Serie von Phishing-Angriffen dokumentiert, die zwischen dem 2. und 4. Dezember 2025 ihren Höhepunkt erreichten. Die Besonderheit: Die Attacken kommen nicht mehr nur als plumpe Fälschung daher, sondern nutzen legitime Plattformen wie DocuSign, Dropbox oder Canva als Ausgangspunkt. Was bedeutet das für die Sicherheit?

Das Cybersecurity-Unternehmen Huntress Labs veröffentlichte am Donnerstag eine beunruhigende Analyse: Angreifer setzen auf die sogenannte “Living off Trusted Sites”-Technik (LoTS). Dabei missbrauchen sie nicht die Marke DocuSign durch gefälschte Absender, sondern versenden ihre Phishing-Mails über authentische DocuSign-Adressen.

In einem konkreten Fall identifizierten die Forscher eine E-Mail, die vorgab, von “Microsof Teams Online” zu stammen – mit absichtlichem Tippfehler, aber versendet über die legitime DocuSign-Adresse dse@docusign.net. Die fatale Konsequenz: Solche Nachrichten passieren SPF-, DKIM- und DMARC-Prüfungen problemlos.

Anzeige

Unternehmen und Behörden sind aktuell besonders gefährdet, weil Angriffe echte Plattformen wie DocuSign nutzen und so Standard-Checks umgehen. Ein kostenloses Anti‑Phishing‑Paket erklärt eine praxisnahe 4‑Schritte‑Strategie gegen LoTS-, QR‑Code‑ und CEO‑Fraud-Angriffe, beschreibt die psychologischen Triggermuster und liefert konkrete Sofortmaßnahmen für IT-Verantwortliche und Mitarbeiter. Inklusive Checklisten zur Prüfung eingehender Unterschriftsanforderungen. Jetzt das kostenlose Anti‑Phishing‑Paket herunterladen

“Es gibt keine initialen Warnsignale für Endnutzer, und die E-Mail scheint von einem hochseriösen Anbieter zu kommen”, schreiben die Huntress-Analysten. Der Angriff führt Opfer zunächst auf eine echte DocuSign-URL, die dann auf eine Drittseite umleitet – spezialisiert auf das Abfischen von Microsoft-365-Zugangsdaten.

Immobilien-Betrug mit “COVID-19-Affidavit”

Parallel dazu warnte das irische Sicherheitsunternehmen CloudSign.ie am Mittwoch vor einer gezielten Kampagne gegen Immobilienbesitzer. Die Betreffzeile der E-Mails lautet: “Re: TK464351 COMPLETED DOCUSIGN : COVID 19 AFFIDAVIT for property.”

Anders als bei den LoTS-Angriffen setzen die Täter hier auf klassisches Spoofing, imitieren aber perfekt das DocuSign-Design. Die Absenderadressen wie brome526@bdhomes.com wirken auf den ersten Blick plausibel. Die eingebetteten Links führen zu betrügerischen Domains wie realestatesecuredocuments.org, die entweder persönliche Daten sammeln oder Malware installieren.

Bemerkenswert: Selbst Ende 2025 erzielen Kriminelle offenbar noch Erfolge mit Ködern rund um “Pandemie-Dokumente” – besonders im Rechts- und Immobiliensektor, wo vermeintliche Eilbedürftigkeit Druck erzeugt.

QR-Codes als Einfallstor

Eine dritte Angriffsvariante dokumentierte die Stadtverwaltung von Scarborough, Maine, bereits am Dienstag: “Quishing” – Phishing mittels QR-Codes. Einwohner erhielten gefälschte DocuSign-Mails angeblich von der Stadt, die einen QR-Code zur Unterschrift enthielten.

“Dies ist eine bekannte Phishing-Taktik, die die DocuSign-Plattform nutzt, um bösartige Links zu verschleiern”, erklärten die Behörden. Das perfide Kalkül: Beim Scannen des Codes wechselt der Angriff vom geschützten Desktop-E-Mail-Client auf das typischerweise weniger gesicherte Smartphone – wo Nutzer URLs seltener auf Ungereimheiten prüfen.

Warum diese Welle gefährlicher ist

Die Konvergenz dreier unterschiedlicher Methoden innerhalb einer Woche markiert eine neue Qualität:

Legitimität als Waffe: Wenn Phishing-Mails tatsächlich von docusign.net kommen, versagen Standard-Authentifizierungen. E-Mail-Sicherheit muss neu gedacht werden.

Mobile Schwachstellen: QR-Code-Attacken umgehen Firewalls vollständig, indem sie Nutzer auf private Smartphones locken.

Hochwertige Ziele: Kampagnen wie das “COVID-Affidavit” zielen auf zeitkritische Transaktionen – etwa Immobilienverkäufe –, wo Opfer unter Handlungsdruck schneller klicken.

Was Nutzer jetzt tun sollten

Sicherheitsexperten rechnen damit, dass LoTS-Angriffe bis Jahresende weiter zunehmen werden. Während Google und Microsoft ihre Spam-Filter verschärfen, setzen Angreifer zunehmend auf die Reputation etablierter Plattformen.

Die wichtigsten Schutzmaßnahmen:

  • Inhalte prüfen, nicht nur Absender: Selbst bei legitimen docusign.net-Adressen auf Tippfehler (“Microsof”) und unerwartete Anfragen achten
  • QR-Codes misstrauen: Unverlangte QR-Codes in E-Mails mit derselben Skepsis behandeln wie verdächtige Links
  • Direkter Zugriff: Nicht auf E-Mail-Links klicken, sondern DocuSign.com direkt im Browser aufrufen und dort nach ausstehenden Dokumenten suchen
  • Verdachtsfälle melden: DocuSign bittet um Weiterleitung verdächtiger Mails an spam@docusign.com

Stand Freitag sind alle drei Kampagnen weiterhin aktiv. Höchste Vorsicht ist geboten – besonders bei unerwarteten Unterschriftsanfragen.

Anzeige

PS: Noch unsicher, ob Ihre Organisation und Mitarbeiter gegen diese Tricks geschützt sind? Das kostenlose Anti‑Phishing‑Paket fasst aktuelle Hacker-Methoden zusammen, zeigt typische Umleitungs‑ und QR‑Code‑Tricks (z. B. echte DocuSign‑URLs mit anschließender Weiterleitung) und liefert eine sofort anwendbare Checkliste für Sofortmaßnahmen und Mitarbeiterschulungen. Ideal für IT-Verantwortliche, Hausverwaltungen und Entscheider. Kostenlosen Anti‑Phishing‑Guide sichern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler