Informationssicherheitsberater München

Phishing Awareness Serie: Der unsichtbare Angriff – DocuSign, Proxy & gestohlene Identität

Der unsichtbare Angriff – DocuSign, Proxy & gestohlene Identität

Verfasst von

essinger

in

Echte Cases aus meinem Alltag als Datenschutzbeauftragter und Berater für Cybersecurity bzw. Informationssicherheit.

Der Erste Fall dieser Serie zeigt, dass 2FA bzw. MFA (Multi-Faktor-Authentifizierung) auch keinen 100%igen Schutz bietet.

Der unsichtbare Angriff – DocuSign, Proxy & gestohlene Identität
Cybersecurity · Phishing · KI-Angriffe

Der unsichtbare Angriff

Wie Kriminelle über eine gefälschte DocuSign-Nachricht in Minuten vollständigen Zugriff auf einen Microsoft-Account erlangen – ohne eine einzige Zeile Schadsoftware.

Lesezeit ca. 5 Min. Datenschutz & IT-Sicherheit Realer Fall

Freitagnachmittag. Minuten vor Anpfiff – wer schaut da noch genau hin.

Eine SMS. Ein Dokument wartet auf die Unterschrift. Der Link führt auf DocuSign – alles echt, alles vertraut, grünes Schloss im Browser.

Login. MFA-Code eingegeben. Fertig.

Nur: Der Login ging nicht zu DocuSign. Er ging durch einen unsichtbaren Proxy. Passwort, Session-Token, MFA-Code – alles mitgelesen, in Echtzeit.

Minuten später ist der Account weg. Der echte Nutzer ausgesperrt. Der Angreifer drin – mit vollen Zugriffsrechten via Microsoft SSO.

Keine Schadsoftware. Keine gefälschte Seite. Alles war echt.

Was hier wirklich passiert ist

Dieser Angriff klingt nach Science-Fiction – ist aber eine der am schnellsten wachsenden Angriffsmethoden weltweit. Der Fachbegriff: Adversary-in-the-Middle (AiTM) Phishing, kombiniert mit OAuth-Token-Hijacking.

Das Perfide daran: Weder die Seite ist gefälscht, noch gibt es Schadsoftware zum Erkennen. Der Angriff nutzt legitime Infrastruktur – und genau das macht ihn so gefährlich.

Laut Sicherheitsforschern von Proofpoint und Microsoft waren bis Anfang 2026 bereits über 340 Organisationen in Europa, Amerika und Asien von dieser Methode betroffen – Tendenz stark steigend.

Der Angriff Schritt für Schritt

Klick auf einen Schritt für Details:

Angriffsablauf – DocuSign Proxy Phishing
ANGREIFER Proxy-Server SMS / MAIL Phishing-Link OPFER Login + MFA DOCUSIGN Echte Seite via Proxy Token + Passwort abgefangen ACCOUNT ÜBERNOMMEN — SSO-Zugriff auf alle Microsoft-Dienste INITIIERT ZUGESTELLT GEKLICKT WEITERGELEITET

Klick auf einen Schritt

Wähle einen der Schritte oben, um zu verstehen, was dort technisch passiert.

Warum greift hier kein klassischer Schutz?

Traditionelle Sicherheitsmechanismen prüfen: Ist die URL verdächtig? Ist der Absender unbekannt? Stimmt das Zertifikat? In diesem Angriff lautet die Antwort auf alle drei Fragen: Nein – alles ist echt.

1

Der Link zeigt auf eine echte Seite

Das Opfer landet tatsächlich auf DocuSign. Der Proxy leitet transparent weiter – der Browser zeigt die richtige URL, das gültige Zertifikat.

2

Die MFA schützt hier nicht

Der Proxy leitet den OTP-Code in Echtzeit weiter. Bis der Nutzer auf „Bestätigen“ drückt, hat der Angreifer den Code bereits verwendet.

3

Der gestohlene Token überlebt Passwortänderungen

OAuth-Session-Tokens sind unabhängig vom Passwort. Ein Passwortreset löscht den Zugang des Angreifers nicht – nur ein explizites Token-Revoke hilft.

4

SSO öffnet alle Türen

Microsoft SSO bedeutet: ein Token, alle Dienste. Teams, SharePoint, OneDrive, Exchange – alles zugänglich. Ohne weiteren Login.

Was wäre ohne schnelle IT-Reaktion passiert? Die nächste Stufe war bereits vorbereitet: Datenexfiltration, Ransomware-Deployment und der Missbrauch des kompromittierten Accounts für weitere Angriffe auf Kontakte und Geschäftspartner.

Was schützt wirklich
🔗

Links niemals aus SMS oder Mail öffnen

DocuSign, Microsoft, Dropbox – immer manuell im Browser aufrufen oder Lesezeichen nutzen. Niemals dem Link in der Nachricht vertrauen, egal wie echt er aussieht.

🔑

FIDO2 / Hardware-Token statt SMS-MFA

Phishing-resistente MFA-Methoden wie FIDO2-Sticks oder Microsoft Authenticator mit Number Matching können Proxy-Angriffe stoppen – klassische SMS-OTP nicht.

📋

Conditional Access in Microsoft 365 aktivieren

Richtlinien, die Login aus unbekannten Ländern oder ungewöhnlichen Geräten blockieren, können eine Übernahme stoppen – selbst wenn Credentials gestohlen wurden.

🚨

IT-Notfallnummer kennen und sofort anrufen

Im Ernstfall zählen Minuten. Wer bei Verdacht sofort die IT erreicht, kann Token rechtzeitig widerrufen. Die Nummer muss auf Papier stehen – nicht nur im Outlook-Kontakt.

🎓

Mitarbeiter schulen – konkret und regelmäßig

Awareness-Schulungen, die echte Fälle zeigen, wirken. Einmalige Onboarding-Folien nicht. Wer weiß wie ein Angriff aussieht, erkennt ihn auch unter Zeitdruck.

Ist euer Unternehmen vorbereitet?

Eine Datenschutz-Folgenabschätzung und eine Mitarbeiterschulung können den Unterschied machen. Wir analysieren eure aktuelle Situation und zeigen konkrete Schritte.

Kostenloses Erstgespräch

Wir helfen gerne

Wir freuen uns auf ein baldiges Gespräch, gerne auch auf einen Besuch bei Essinger Consulting & Petzka Consulting.

Büro-Adresse MünchenAmalienstraße 77, Gartenhaus
80799 München

Büro-Adresse Traunreut
Trostberger Str. 24
83301 Traunreut

per E-Mail: 
mail ät essinger.consulting

per Telefon: 
089-461389-0

Termin vereinbaren via Calendly

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge