Eine raffinierte Phishing-Kampagne missbraucht den guten Namen des E-Signatur-Anbieters DocuSign, um ahnungslose Nutzer in die Identitätsdiebstahl-Falle zu locken. Sicherheitsforscher warnen vor einer mehrstufigen Attacke, die mit gefälschten E-Mails beginnt und mit dem Diebstahl sensibler Daten endet.
Vom gefälschten Dokument zum Identitätsraub
Die Angreifer setzen auf die Vertrautheit und Seriosität von DocuSign-Benachrichtigungen. Ihre täuschend echten E-Mails fordern Empfänger auf, angebliche Dokumente zu prüfen oder zu unterzeichnen. Doch die Links führen nicht zu echten Verträgen, sondern zu perfekt nachgebauten Login-Seiten. Dort werden Unternehmenszugänge und persönliche Daten abgegriffen.
Besonders gefährlich: Die jüngste Kampagne aus Januar 2026 verfolgt eine Doppelstrategie. Zuerst werden berufliche E-Mail-Zugänge gestohlen. In einer zweiten Welle zielen die Kriminellen dann direkt auf private Finanzinformationen ab. Das zeigt den klaren Übergang von Unternehmensspionage zum umfassenden Identitätsdiebstahl.
Passend zum Thema E-Mail‑Phishing: Business Email Compromise (BEC) und fingierte DocuSign‑Benachrichtigungen sind derzeit Hauptursache für erfolgreiche Angriffe. Ein kostenloses Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie gefälschte Login‑Seiten erkennen, Single‑Sign‑On‑Fallen vermeiden und interne BEC‑Szenarien unterbinden. Enthalten sind Checklisten, psychologische Angriffsmuster und praxisnahe Maßnahmen für IT‑Verantwortliche. Anti-Phishing-Paket jetzt herunterladen
So funktioniert die perfekte Täuschung
Der Erfolg der Kampagne basiert auf der minutiösen Nachahmung echter Geschäftsabläufe. Die Betrüger erstellen E-Mails mit seriös wirkenden Betreffzeilen wie „Vertrag zur Unterschrift bereit“ oder „Dokument wurde unterzeichnet“. Diese Nachrichten passieren oft sogar technische Sicherheitsprüfungen wie SPF, DKIM und DMARC – für Filter und Nutzer wirken sie damit authentisch.
Klickt das Opfer auf „Dokument ansehen“, landet es auf einer täuschend echten DocuSign-Kopie. Manche Seiten zeigen sogar wasserzeichen-geschützte Dokumentenvorschauen. Dann folgt die Aufforderung zur Anmeldung – über Microsoft-Konten oder andere Single-Sign-On-Dienste. Genau in diesem Moment werden die Zugangsdaten abgefangen.
Die Angreifer verschleiern ihre Infrastruktur gekonnt. Sie nutzen mehrere Umleitungen über legitime Hosting-Dienste und setzen teilweise dezentrale Dateisysteme ein. Das macht die Identifizierung und Abschaltung der Phishing-Seiten extrem schwierig.
Vom gestohlenen Passwort zum finanziellen Schaden
Gestohlene Zugangsdaten sind erst der Anfang. Mit kompromittierten E-Mail-Konten starten Kriminelle oft weitere Angriffe: Sie führen Betrugsaktionen per Business Email Compromise (BEC) durch, starten interne Phishing-Kampagnen oder stehlen Unternehmensdaten.
Die aktuelle DocuSign-Kampagne zeigt jedoch eine neue Qualität. Nach dem Zugangsdiebstahl sammeln die Täter systematisch persönliche Finanzinformationen. Diese Daten ermöglichen Identitätsbetrug in großem Stil: falsche Kreditanträge, gefälschte Steuererklärungen oder der Verkauf der Informationen im Darknet.
Die Betrüger passen ihre Köder geschickt an. Zur Weihnachtszeit locken sie mit Rechnungen für Geschenkartikel, zu anderen Zeiten mit gefälschten Norton- oder PayPal-Benachrichtigungen. Diese stammen scheinbar von echten, aber gehackten DocuSign-Konten – was die Glaubwürdigkeit zusätzlich erhöht.
Schutzmaßnahmen: Skepsis statt blindem Vertrauen
Die Ausnutzung vertrauenswürdiger Marken wie DocuSign bleibt eine beliebte Angriffsmethode. In einer Welt voller digitaler Signaturen und schneller Klicks fällt die Unterscheidung zwischen echt und gefälscht immer schwerer.
Sicherheitsexperten empfehlen mehrstufige Schutzmaßnahmen. Unternehmen sollten fortschrittliche E-Mail-Sicherheitslösungen einsetzen und ihre Mitarbeiter regelmäßig schulen. Privatpersonen müssen bei unerwarteten DocuSign-E-Mails besonders wachsam sein.
DocuSign selbst betont: Echte E-Mails des Unternehmens enthalten niemals direkte Anhänge. Stattdessen verlinken sie stets auf Dokumente innerhalb der offiziellen Domäne. Nutzer sollten jeden Link prüfen – die korrekte URL beginnt immer mit „https://www.docusign.net“ oder einer regionalen Variante. Verdächtige Nachrichten können direkt an DocuSign gemeldet werden.
Die Zukunft: KI macht Phishing noch gefährlicher
Mit der zunehmenden Digitalisierung von Geschäftsprozessen werden solche Angriffe weiter zunehmen. Die Betrüger verfeinern ihre Methoden kontinuierlich. Besonders bedrohlich: Der Einsatz künstlicher Intelligenz könnte bald hochgradig personalisierte und kontextsensitive Phishing-E-Mails ermöglichen.
Bis dahin bleiben gesunde Skepsis und Aufmerksamkeit die besten Schutzmittel. Die Absenderadresse prüfen, auf generische Anreden achten und bei dringenden Aufforderungen misstrauisch sein – diese einfachen Schritte können verhindern, dass aus einer harmlos wirkenden E-Mail ein Fall von Identitätsdiebstahl wird. Für Unternehmen und Privatpersonen gilt gleichermaßen: In der digitalen Welt ist Vorsicht nicht nur klug, sondern notwendig.
PS: KI‑gestützte Phishing‑Mails sind bereits Realität – jetzt handeln, bevor Identitätsdiebstahl und BEC‑Angriffe Erfolg haben. Das kostenlose Anti‑Phishing‑Paket liefert praxiserprobte Abwehrstrategien, Vorlagen für Mitarbeiterschulungen und Sofort‑Checks, mit denen Sie Phishing‑Infrastruktur aufspüren und externe Links sicher prüfen. Ideal für IT‑Verantwortliche und Entscheider, die sensible Unternehmens‑ und Privatdaten schützen wollen. Gratis Anti-Phishing-Guide sichern
