Warnung der weko.com nach Hack vor Phishing-Mail (Nov. 2025)

Das Unternehmen WEKO Wohnen GmbH hat die Woche eine E-Mail an diverse Kunden geschickt, in der vor Phishing-Mails, die im Namen des Unternehmens verschickt werden, gewarnt wird. Es wurden mutmaßlich zwei Mitarbeiter-Konten gehakt. Ich habe die Phishing-Mail, die angeblich ein PDF auf OneDrive hostet, mal etwas genauer angeschaut und das Ganze dokumentiert. Scanner wie Virustotal schlagen übrigens nicht an.

Ein Leserhinweis zur Weko-Warnung

Blog-Leser Benjamin S. hat mir zum 12. November eine Warnung vor Phishing-Mails im Namen von weko.com zugeschickt. Die WEKO Wohnen GmbH ist ein Hersteller von Büromöbeln, und Unbekannte missbrauchen den Namen, um Phishing-Mails zu versenden.

Die Phishing-Mail im Namen von Weko

Nachfolgender Screenshot zeigt den Inhalt der Phishing-Mail. Es handelt sich um eine E-Mail, die im Namen einer Weko-Projektleiterin verschickt wurde und sich angeblich um Planungsunterlagen für eine Küche dreht.

Der dort angegebene Link führt auf ein OneDrive-Laufwerk, der von Virustotal nicht bemängelt wird. Ich habe das Ganze weiter analysiert.

Phishing-Dokument auf OneDrive

Auf dem OneDrive-Laufwerk findet sich dann eine PDF-Datei, die der Empfänger öffnen soll.

Der Kontextmenübefehl zum Kopieren des Links "KLICKEN SIE HIER, UM DAS DOKUMENT ANZUSEHEN" ist gesperrt. Zeigt man auf den Link, wird in der Fußzeile die URL https: //prozessing. spbrealty. info/safe eingeblendet. Das ist aber lediglich eine in den USA gehostete Webseite ohne weitere Inhalte, die der Phisher für eigene Zwecke angelegt hat.

Die Phishing-Seite

Klickt der Empfänger der Phishing-Mail auf den betreffenden Link, um das vermeintliche Dokument mit der Küchenplanung als PDF anzusehen, wird folgendes angezeigt. Die Seite erweckt den Anschein, dass ein besonders gesichertes Dokument der Anzeige harrt.

Die Schaltfläche Sign In with Microsoft to Access zeigt aber, wessen Geistes Kind das Ganze ist. Klickt der Empfänger auf die Schaltfläche und gibt die Anmeldedaten für sein Microsoft Konto ein, hat der Phisher Erfolg und die Daten sind weg.

Der Header der Mail

Nachfolgend habe ich mal den Header der betreffenden Phishing-Mail zur Information eingestellt.

Received: from FR5P281MB4764.DEUP281.PROD.OUTLOOK.COM (2603:10a6:d10:151::5)
 by FRYP281MB0174.DEUP281.PROD.OUTLOOK.COM with HTTPS; Wed, 12 Nov 2025
 10:28:10 +0000
ARC-Seal: i=3; a=rsa-sha256; s=arcselector10001; d=microsoft.com; cv=fail;
 b=UaSlLenEYv8lMdAugB4QNgc0oeUX1ZzIetuaf6Q1tb4QKWIBYAPKJumyiVzDNcABKMOZLm41W8yIacU0VvJFcEmP0Z3lYzlnBHgskdzYwsFg4bHnSy0Se5DT2HctjXKnTzw/xlNwHuEbThaRMkNu4161CvCftIlCbJo9s8kT9qGM8KBPu+0ew4SyD4qcq85d7pxVo0bZjU7PUNJeSkm3mDRHpcml8FskTmLTb0AYr1nym0ecvyH6vT+C/Lue35iay/adB4aHZ8vc7GQ6mnf8IEIxR/H92e+Ea2tJi2nfst20ahH/bZt7BgqSRidLjaA4g18YE+MBGW3ZjNQW+y/EAw==
ARC-Message-Signature: i=3; a=rsa-sha256; c=relaxed/relaxed; d=microsoft.com;
 s=arcselector10001;
 h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-AntiSpam-MessageData-ChunkCount:X-MS-Exchange-AntiSpam-MessageData-0:X-MS-Exchange-AntiSpam-MessageData-1;
 bh=cgGshnm3qk7dfmxDUehsoPo7QA3q1ZjbX+fuEyX7Iks=;
 b=Dn1YkXftDvYlUW0gJ2VSzagWlPJD2Pu+UaK9yNf9bW2beU7VEojT2L+6dNPOnPmT9XhuYLUhHLz5MCRTJ/npY1AmTIRf2GbG/3vVewTIQ2hk5QfppkAn1ICQGHXlDcKpBXn5Sh8FSU4VBzGpRGI/EIJyHAkFBz4iMx7Jj+6IuQj9x/y8U6N6pAQgPoUmfQdq+ry7j2qayWra0J5ezjDGm0DOy6SgOgMYaensRR4XLm8vl+EecMiQI/tSzXRaCfHQVO1oWv6GjWR8lGq1iajZIweTzvZxZ3vK5aiLSqkpYalr6XpvYM+EEp8ijUokacKUhK3H09nPiOLCCXEJMwOIPw==
ARC-Authentication-Results: i=3; mx.microsoft.com 1; spf=pass (sender ip is
 94.100.128.29) smtp.rcpttodomain=oh-muenchen.de smtp.mailfrom=weko.com;
 dmarc=pass (p=none sp=none pct=100) action=none header.from=weko.com;
 dkim=fail (signature did not verify) header.d=weko.com; arc=fail (48)
Received: from FR4P281CA0214.DEUP281.PROD.OUTLOOK.COM (2603:10a6:d10:e4::10)
 by FR5P281MB4764.DEUP281.PROD.OUTLOOK.COM (2603:10a6:d10:151::5) with
 Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.9320.15; Wed, 12 Nov
 2025 10:25:53 +0000
Received: from FR2PEPF000004EF.DEUP281.PROD.OUTLOOK.COM
 (2603:10a6:d10:e4:cafe::a0) by FR4P281CA0214.outlook.office365.com
 (2603:10a6:d10:e4::10) with Microsoft SMTP Server (version=TLS1_3,
 cipher=TLS_AES_256_GCM_SHA384) id 15.20.9320.16 via Frontend Transport; Wed,
 12 Nov 2025 10:25:52 +0000
Authentication-Results: spf=pass (sender IP is 94.100.128.29)
 smtp.mailfrom=weko.com; dkim=fail (signature did not verify)
 header.d=weko.com;dmarc=pass action=none header.from=weko.com;compauth=pass
 reason=100
Received-SPF: Pass (protection.outlook.com: domain of weko.com designates
 94.100.128.29 as permitted sender) receiver=protection.outlook.com;
 client-ip=94.100.128.29; helo=mx-relay19-hz1-if1.hornetsecurity.com; pr=C
Received: from mx-relay19-hz1-if1.hornetsecurity.com (94.100.128.29) by
 FR2PEPF000004EF.mail.protection.outlook.com (10.167.240.36) with Microsoft
 SMTP Server (version=TLS1_3, cipher=TLS_AES_256_GCM_SHA384) id 15.20.9320.13
 via Frontend Transport; Wed, 12 Nov 2025 10:25:53 +0000
ARC-Authentication-Results: i=2; mx-gate19-hz1.hornetsecurity.com 1; spf=pass
 reason=mailfrom (ip=52.101.69.100, headerfrom=weko.com)
 smtp.mailfrom=weko.com
 smtp.helo=am0pr83cu005.outbound.protection.outlook.com; dmarc=pass
 header.from=weko.com orig.disposition=pass
ARC-Message-Signature: a=rsa-sha256;

Die Mail stammt also von Weko und das Unternehmen bestätigt weiter unten, dass kompromittierte E-Mail-Konten zum Versand missbraucht wurden..

Die Warnung von Weko

Weko hat dann die Empfänger dieser Phishing-Mail kontaktiert und eine Warnung mitgeliefert. Ich stelle den Inhalt der Mail, in der die WEKO Wohnen GmbH vor diesen Phishing-Mails warnt, hier mal zur Informationen ein.

Von: *** <***@weko.com>
Gesendet: Mittwoch, 12. November 2025 12:47
An: it-security@weko.com <it-security@weko.com>
Betreff: Phishing-Mail von weko.com
ACHTUNG: Diese E-Mail stammt von einem externen Absender. Bitte vermeiden Sie es, Anhänge oder externe Links zu öffnen
Sehr geehrte Damen und Herren,

bitte beachten Sie, dass heute eine Phishing-E-Mail aus unserem Hause an einen begrenzten Personenkreis versendet wurde. Sie sind einer der Empfänger.

Die Nachricht wurde über das Postfach von Frau ***(***@weko.com) oder Herrn **** (***@weko.com) verschickt, deren Zugang unbefugt verwendet wurde.

Wichtige Hinweise:

• Öffnen Sie keine Anhänge und klicken Sie auf keine Links in der betreffenden E-Mail.
• Geben Sie keine Benutzer, Passwörter oder andere Daten ein.
• Löschen Sie die Nachricht sofort aus Ihrem Posteingang.
• Sollten Sie bereits auf einen Link geklickt oder einen Anhang geöffnet haben, informieren Sie bitte umgehend Ihre IT-Abteilung.
• Ändern Sie ggf. Ihr Passwort

Der Vorfall wird derzeit untersucht, und es wurden bereits entsprechende Sicherheitsmaßnahmen eingeleitet, um weiteren Versand zu verhindern.

Rückfragen bitte an die Mail-Adresse it-security@weko.com.

Vielen Dank für Ihre Aufmerksamkeit und Ihr umsichtiges Handeln.

Freundliche Grüße

***
Datenschutz & Compliance-Manager
Recht & Risiko

Ich habe in obiger Mail die Namen der Beteiligten verschleiert. Es sieht so aus, dass zwei Benutzerkonten des Weko-Mailsystems gehackt und zum Mailversand missbraucht werden konnten.