Die Täter setzen auf raffinierte Täuschungsmanöver, um an sensible Firmendaten zu gelangen und damit Erpressung oder Betrug zu begehen. Besonders perfide: Die Angreifer nutzen vertrauenswürdige Cloud-Dienste wie Google, um traditionelle Sicherheitsfilter zu umgehen.
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. Dieser Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen
Angriff auf die Führungsetage
Erst am heutigen Donnerstag berichteten die Cado Security Labs, eine Einheit des Sicherheitskonzerns Darktrace, von einer gezielten Spear-Phishing-Kampagne gegen Führungskräfte aus der Technologiebranche. Die Hacker hatten zuvor japanische geschäftliche E-Mail-Konten kompromittiert und versendeten von dort aus täuschend echte Dokumentenanfragen.
Die Nachrichten enthielten versteckten JavaScript-Code, der darauf ausgelegt war, Zugangsdaten abzugreifen. Das Ziel: Business Email Compromise (BEC) – also die Übernahme hochrangiger Firmenaccounts, um anschließend Überweisungen zu manipulieren oder vertrauliche Daten zu stehlen. Indem die Angreifer auf legitime, aber gekaperte japanische Infrastruktur zurückgriffen, umgingen sie erfolgreich die üblichen Reputationsfilter der E-Mail-Sicherheitssysteme.
Die Google-Falle: Drei Umwege zum Ziel
Einen Tag zuvor, am 27. Mai, veröffentlichten die Experten von KnowBe4 ThreatLabs Details zu einer weiteren aktiven Kampagne. Deren Kernstück: eine „Dreifach-Umleitung“ über Google-Dienste. Die Täter missbrauchen Google Meet, die Google-Suche und Google Ads, um die eigentliche bösartige Zieladresse zu verschleiern.
Die Köder sind vielfältig: angebliche FedEx-Lieferbenachrichtigungen, Microsoft-365-Passwortabläufe oder DocuSign-Unterschriftsanfragen. Weil die ersten Links auf vertrauenswürdige Google-Domains zeigen, erkennen viele E-Mail-Gateways die Gefahr nicht. Wer auf den Link klickt, landet schließlich auf gefälschten Microsoft-365-Anmeldeseiten oder wird aufgefordert, einen Gerätecode einzugeben. Diese als Device-Code-Phishing bekannte Methode umgeht selbst die Zwei-Faktor-Authentifizierung (MFA).
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses Cyber Security E-Book jetzt herunterladen
Vom Passwortklau zur Daten-Erpressung
Die Bedrohung für DocuSign-Nutzer geht jedoch weit über den reinen Diebstahl von Anmeldedaten hinaus. Das Sicherheitsunternehmen Push Security beobachtet seit August 2025 Erpressergruppen wie ShinyHunters und BlackFile, die automatisierte Phishing-Kits einsetzen. Diese nutzen über 400 Domains und kombinieren Telefon-Phishing (Vishing) mit sogenannten Adversary-in-the-Middle (AiTM)-Techniken.
Haben die Angreifer erst einmal einen Identitätsanbieter geknackt, schwenken sie schnell auf SaaS-Plattformen um. Im Visier stehen dann Dienste wie DocuSign, SharePoint oder Salesforce. Dort extrahieren sie sensible Unternehmensdaten für Erpressungsversuche. Dieser Wandel markiert eine Verschiebung weg von klassischer Ransomware hin zum direkten Datendiebstahl aus Cloud-Anwendungen.
Rekordzahlen: Phishing auf dem Vormarsch
Die Angriffe auf DocuSign und andere Geschäftsplattformen sind Teil eines allgemeinen Anstiegs der Cyberbedrohungen. Der APWG Phishing Activity Trends Report für das erste Quartal 2026 verzeichnet einen Anstieg der Phishing-Angriffe um 13,8 Prozent auf insgesamt 971.181 Vorfälle – im Vergleich zum Schlussquartal des Vorjahres.
Auch die Marktdaten von Cisco Talos bestätigen den Trend: Phishing hat sich mit einem Anteil von 24 Prozent an allen beobachteten Vorfällen wieder als häufigster Einstiegsvektor für Cyberangriffe etabliert. Im späten Jahr 2025 lag dieser Wert noch bei 18 Prozent. Analysten betonen zudem, dass Künstliche Intelligenz die Bedrohung massiv verstärkt. In bestimmten Regionen, etwa in Südafrika, berichten rund 90 Prozent der Organisationen von Sicherheitsvorfällen mit KI-gestützten Phishing-Angriffen.
Sicherheitsexperten raten Unternehmen daher zu äußerster Vorsicht bei unerwarteten Dokumenten-Signieranfragen. Empfohlen wird, die Echtheit solcher Anfragen stets über einen zweiten Kommunikationsweg zu prüfen. Zudem sollten Mitarbeiter darin geschult werden, die Risiken der Eingabe von Gerätecodes auf nicht selbst initiierten Anmeldeseiten zu erkennen.
