Datum:Veröffentlicht von:

Bisher ist noch kein Kunde auf genau diesen Betrug hereingefallen. Wir haben jedoch das gleiche Muster in forensischen Berichten von Unternehmen in Dänemark, Österreich und Luxemburg beobachtet. Gleiche Tarnung, gleiche Geduld, gleiches Ergebnis: Das Unternehmen merkt erst, dass es kompromittiert wurde, wenn der Schaden irreparabel ist. Hier sind einige Top-Tipps zur Erkennung gefälschter DocuSign-E-Mails.

Hier ist die zusammengesetzte Geschichte, die wir aus diesen realen Fällen erstellt haben, damit Sie sie erkennen können, bevor Sie von diesem Betrug betroffen sind. Es beginnt harmlos – normalerweise an einem Dienstag oder Mittwoch, wenn die Posteingänge überquellen.

Eine E-Mail taucht um 10:34 Uhr auf.

Betreffzeile: „Docusign – Sie haben 1 neues Dokument zum Überprüfen und Unterzeichnen – EXP 12.04.2025“
Von: noreply@docusign.net (rotes Häkchen-Symbol, perfektes Branding)
In der E-Mail: kein Anhang. Nur eine saubere blaue Schaltfläche mit der Aufschrift: „Dokument überprüfen“.

Sie klicken. Ein neuer Tab öffnet sich zu einer Seite, die zu 100 % wie DocuSign aussieht – Ihr Firmenlogo befindet sich sogar oben links, da es von Ihrer Website abgerufen wurde. Sie werden aufgefordert, sich mit Ihren Microsoft 365-Anmeldeinformationen „anzumelden, um fortzufahren“. Das tun Sie. Dreißig Sekunden später sehen Sie sich einen gefälschten Vertrag an, schließen den Tab und vergessen ihn.

Nichts explodiert. Keine Dateien verschwinden. Ihr Antivirus bleibt stumm. Das ist der ganze Sinn.

In den nächsten 10–45 Tagen führt ein winziges Stück Code unbemerkt Folgendes aus:

  • Registriert eine neue „App“ in Ihrem Microsoft Identity Service mit unschuldig klingenden Berechtigungen
  • Fügt eine versteckte Posteingangsregel hinzu, die alle E-Mails löscht, die die Wörter „Phishing“, „kompromittiert“ oder „MFA“ enthalten
  • Exfiltriert Ihr Adressbuch, aktuelle E-Mails und die SharePoint-Dateiliste, was eine elegante Art ist zu sagen, dass diese Daten gestohlen und an den Angreifer gesendet werden
  • Verwendet Ihr eigenes Konto, um den gleichen DocuSign-Köder an drei Ihrer regulären Lieferanten zu senden

Sechs Wochen später haben die Angreifer alles, was sie brauchen, um eine überzeugende CEO-Betrugszahlungsumleitung durchzuführen, oder sie aktivieren einfach Ransomware mit Ihren eigenen Admin-Schlüsseln.

Durchschnittliche Zeit vom ersten Klick bis zur Entdeckung: 38 Tage.
Durchschnittlicher finanzieller Schaden: 270.000 € – 1,4 Millionen €.

Warum diese im Jahr 2025 so schwer zu erkennen ist

  • Keine Malware auf der Festplatte → traditionelles Antivirus sieht nichts
  • Gehostet auf legitimen Cloud-Diensten (Azure, AWS-Frontends, Cloudflare-Seiten)
  • Verwendet Ihr echtes Branding und echte Lieferantennamen, die aus öffentlichen Quellen oder früheren kleinen Lecks stammen
  • Fragt niemals nach Kreditkartendaten oder Krypto – nur nach Ihrem normalen Arbeits-Login
  • Nutzt die Tatsache aus, dass die meisten Leute immer noch denken: „Ich würde es merken, wenn sofort etwas Schlimmes passiert“

Die drei Realitätschecks, die jedes Mal noch funktionieren

  1. Echte DocuSign, DocuWare, Adobe Sign usw. fordern Sie niemals auf, sich über einen E-Mail-Link erneut zu authentifizieren, wenn Sie bereits angemeldet sind. Niemals.
    → Bewegen Sie den Mauszeiger über die Schaltfläche: Wenn die Domain nicht genau docusign.net oder identity.docusign.com ist, schließen Sie sie.
  2. Überprüfen Sie die gesendeten Elemente einige Stunden später.
    → Wurde eine E-Mail, an die Sie sich nicht erinnern, an Ihre fünf wichtigsten Lieferanten gesendet? Das ist normalerweise das erste leise Zeichen.
  3. Sehen Sie sich am selben Tag die Anmeldungen in Ihrem Microsoft 365- oder Google Workspace Admin Center an.
    → Eine Anmeldung aus Moldawien, Vietnam oder einem TOR-Exit-Node, den Sie nicht erkennen? Beenden Sie die Sitzung und erzwingen Sie sofort eine Kennwortzurücksetzung.

Ihre 90-Sekunden-Routine, die diese gesamte Angriffskette unterbricht

  • Behandeln Sie jede E-Mail mit der Aufschrift „Dokument überprüfen / Jetzt signieren“ als verdächtig, bis das Gegenteil bewiesen ist
  • Gehen Sie direkt zum echten Portal (geben Sie docusign, office.com, adobe.com selbst ein) und prüfen Sie, ob dort tatsächlich etwas auf Sie wartet
  • Aktivieren Sie MFA mit Hardware-Schlüsseln oder Passkeys – reine Kennwortanmeldungen sind nicht mehr sicher
  • Aktivieren Sie „Unified Audit Log“-Benachrichtigungen für neue App-Registrierungen und Änderungen der Posteingangsregeln (dauert fünf Minuten in MS Defender oder Google Admin)

Dies ist nicht die laute, dramatische Malware von 2017. Sie ist leise, geduldig und braucht nur acht Sekunden Vertrauen. Geben Sie ihr diese acht Sekunden nicht!

P.S. Haben Sie eine Signieranfrage erhalten, die sich etwas komisch anfühlt, und unsere Top-Tipps zur Erkennung gefälschter Docusign-E-Mails gelesen, sind sich aber immer noch nicht sicher? Leiten Sie die Roh-Nachricht an hello@vali.now weiter und wir werden sie für Sie auseinandernehmen – keine Gebühr für die erste.

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert