DocuSign-Phishing: Neue Welle täuschend echter Betrugsmails

Sicherheitsbehörden schlagen Alarm: Eine neue Generation von Phishing-Angriffen imitiert führende E-Signatur-Plattformen wie DocuSign und HelloSign mit erschreckender Perfektion. Die Täter setzen auf hochentwickelte Umgehungstechniken und personalisierte Social-Engineering-Fallen.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Gefährliche Perfektion: So täuschen die Betrüger

Seit Anfang Mai 2026 registrieren Sicherheitsexperten eine dramatische Zunahme betrügerischer E-Mails, die vorgeben, von DocuSign zu stammen. Die Nachrichten nutzen hochauflösende Markenlogos und drängen Empfänger mit dringenden Formulierungen zum Klick auf einen „Review Document"-Button. Typische Drohkulissen: Kontosperrung oder rechtliche Konsequenzen, sollte man sich nicht sofort einloggen und eine angebliche „Rechnung" oder „Sicherheitswarnung" unterschreiben.

Die Better Business Bureau (BBB) warnt vor einer besonders perfiden Variante: Verbraucher erhalten Benachrichtigungen über angebliche Zahlungen in Höhe von rund 500 Euro. Die Empfänger werden aufgefordert, eine gefälschte Service-Hotline anzurufen oder einen Link zu klicken, um eine nie autorisierte Transaktion zu überprüfen. Wer darauf hereinfällt, landet auf nachgemachten Formularen zur Erfassung persönlicher Zugangsdaten – oder lädt sich unbemerkt Schadsoftware herunter.

Besonders heimtückisch: Die Angreifer tarnen ihre Mails als Nachrichten aus Personalabteilungen. Themen wie Gehaltsabrechnungen, Überweisungsbestätigungen oder Mitarbeiter-Benefits stehen auf dem Programm. In stressigen Phasen wie dem Steuerabschluss oder Quartalsende gehen diese gefälschten Anfragen im Berg legitimer Post unter.

Technische Tricks machen Erkennung fast unmöglich

Die Betrüger setzen auf eine raffinierte „Hybrid"-Methode: Sie nutzen externe E-Mail-Weiterleitungsdienste, um ihre schädlichen Nachrichten zu versenden. Da die Mails über legitime Kanäle kommen, umgehen sie mühelos Standard-Spamfilter.

Noch perfider: Einige Angreifer integrieren Cloudflare-CAPTCHA-Seiten in die Betrugskette. Nur wer das Rätsel löst, gelangt zur eigentlichen Phishing-Seite. Automatische Sicherheitsscanner werden so ausgebremst – während der menschliche Nutzer ahnungslos auf eine täuschend echte Login-Seite weitergeleitet wird.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen. Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. Gratis-Ratgeber für IT-Sicherheit herunterladen

Eine weitere Masche: „Favicon-Spoofing". Die Betrugsseite lädt dynamisch das Icon der tatsächlichen Unternehmensdomain des Empfängers und zeigt es im Browser-Tab an. Dieser kleine, aber wirkungsvolle Trick lässt die gefälschte Seite wie ein Teil der internen Firmen-Infrastruktur aussehen.

Milliarden-Markt im Visier der Cyberkriminellen

Der Boom der E-Signatur-Branche macht sie zum attraktiven Ziel. Marktforscher berichten von Umsatzsteigerungen von über 50 Prozent in den letzten Jahren. Die organisierte Cyberkriminalität hat diesen Trend längst erkannt.

Besonders alarmierend: Die Angreifer geben sich nicht mehr mit einfachem Passwort-Diebstahl zufrieden. Sie setzen auf Adversary-in-the-Middle (AitM)-Taktiken, um sogar Zwei-Faktor-Authentifizierungscodes in Echtzeit abzufangen. Indem sie als Proxy zwischen Nutzer und legitimen Dienst agieren, erbeuten sie Sitzungs-Cookies und erhalten dauerhaften Zugriff auf Firmenkonten – selbst nach einem Passwortwechsel.

So schützen Sie sich

Die wirksamste Verteidigung bleibt die Schulung der Mitarbeiter. Sicherheitsexperten empfehlen, vor jeder Interaktion mit einer Signatur-Anfrage auf folgende Warnsignale zu achten:

• Abweichende Absender-Domains (etwa „.net" statt offiziellem „.com")
• Allgemeine Anreden statt persönlicher Ansprache
• Aufdringliche Formulierungen, die sofortiges Handeln erzwingen sollen

IT-Abteilungen raten dazu, Links vor dem Klick zu überprüfen und bei Unsicherheit den angeblichen Absender über einen unabhängigen Kanal – etwa einen direkten Anruf – zu kontaktieren.

Firmen wird zudem die Einführung einer „Erzwungenen ID-Authentifizierung" empfohlen. Dabei müssen Empfänger zusätzliche Nachweise wie Einmal-Passwörter oder Ausweisscans erbringen, bevor sie ein Dokument einsehen oder unterschreiben können. Das erschwert Phishern die Ausnutzung gestohlener Links erheblich.

Ausblick: Personalisierte Angriffswellen erwartet

Experten rechnen für den Rest des Jahres 2026 mit einer weiteren Verschärfung der Lage. Die nächste Welle dürfte aus hochgradig personalisierten „Spear-Phishing"-Kampagnen bestehen, die gestohlene Firmendaten nutzen, um betrügerische Anfragen von legitimer Geschäftskommunikation praktisch ununterscheidbar zu machen.

Wer den Verdacht hat, Opfer eines solchen Betrugs geworden zu sein, sollte dies umgehend über offizielle Meldeportale wie den BBB Scam Tracker oder die FTC-Betrugswebseite melden – um die Strafverfolgungsbehörden bei der Verfolgung dieser wachsenden Bedrohung zu unterstützen.

de | wissenschaft | 69274690 |