Phishing-Angriff missbraucht Sicherheitsdienste: 40.000 Mails täuschen SharePoint- und DocuSign-Nachrichten vor

Eine groß angelegte Phishing-Aktion hat weltweit rund 6.100 Unternehmen ins Visier genommen. Mehr als 40.000 betrügerische Nachrichten wurden verschickt, die sich als Benachrichtigungen von SharePoint oder elektronischen Signaturdiensten wie DocuSign ausgaben. Besonders perfide: Die Angreifer nutzten legitime Domains von Mimecast und Bitdefender, um gängige Filter zu umgehen und Vertrauen zu erwecken. Sicherheitsexperten warnen, dass die missbräuchliche Verwendung solcher Dienste die Erkennung nahezu unmöglich macht.

Die Kampagne lief in mehreren Varianten. In einer ersten Welle erhielten Empfänger E-Mails mit Betreffzeilen wie „Dokument zur Unterschrift bereit“ oder „Neue Dateifreigabe“. Die Links führten zunächst über die echte Mimecast-Domain, bevor sie auf eine manipulierte Seite weiterleiteten. Da Mimecast als vertrauenswürdig gilt, klickten viele Nutzer ohne Verdacht. Eine zweite, noch raffiniertere Methode imitierte DocuSign-Benachrichtigungen. Hier wurden Links über Bitdefender-GravityZone und Intercom geleitet, bevor sie auf die eigentliche Phishing-Seite führten. Selbst erfahrene IT-Teams hatten Schwierigkeiten, diese Täuschung zu erkennen.

Die Angriffe zielten vor allem auf Branchen mit hohem Dokumentenaufkommen wie Finanzdienstleister, Kanzleien, Technologieunternehmen und das Gesundheitswesen. Betroffen waren Organisationen in Nordamerika, Europa, Asien-Pazifik und dem Nahen Osten. Die Täter setzten auf psychologische Tricks wie Dringlichkeit und vertraute Absenderadressen, um die Opfer zum schnellen Handeln zu bewegen.

Unternehmen können sich nur durch eine Kombination technischer und organisatorischer Maßnahmen schützen. Dazu gehören strengere Prüfungen von Weiterleitungen, die konsequente Nutzung von Multi-Faktor-Authentifizierung und das Öffnen verdächtiger Links in isolierten Umgebungen. Ebenso wichtig sind regelmäßige Schulungen, die Mitarbeiter für typische Merkmale von Phishing sensibilisieren. Ein klarer Notfallplan mit Meldewegen und Sofortmaßnahmen sollte ebenfalls vorhanden sein.

Die Vorfälle zeigen, dass selbst etablierte Sicherheitsdienste missbraucht werden können. Klassische Filter stoßen an ihre Grenzen, wenn Angreifer legitime Infrastruktur nutzen. Firmen sollten ihre Konfigurationen überprüfen, Zero-Trust-Strategien einführen und KI-gestützte Systeme zur Erkennung einsetzen. Experten erwarten, dass 2026 noch mehr Angriffe über vertrauenswürdige Dienste erfolgen und KI-generierte Mails die Täuschung perfektionieren. Auch Multi-Faktor-Verfahren könnten verstärkt attackiert werden.

Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!