![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Mir ist von einem Blog-Leser eine sehr krude Geschichte zugespielt worden. Ein mit Microsoft Word erzeugtes Dokument enthielt eine WebEx-Einladung. Durch die Silbentrennung wurde ein \"Phishing-Link\" erzeugt, der auf obskure Seiten umleitete. Sp\u00e4ter stellte sich heraus, dass die PDF-Konverter die URL des Einladungslinks mit einem \"-\" als Trennstrich versahen und so f\u00fcr den Phishing-Link sorgten.<\/p>\n
<\/p>\n
Der Leser schrieb mir, dass er als IT-B\u00fcro gerade ein \"etwas\" gr\u00f6\u00dferes Anrufaufkommen durch Unternehmenskunden gehabt habe. Ausgel\u00f6st worden seien die Anrufe durch einen von Word erzeugen \"Phishing-Link\".<\/p>\n Florian hat den Sachverhalt dann erkl\u00e4rt.\u00a0Hintergrund der Aufregung war ein offizielles Schreiben einer Beh\u00f6rde, die zu einer Webex-Konferenz eingeladen hat. Der Teilnahme-Link zur Webex-Konferenz wurde in dem Schreiben eingef\u00fcgt, und dann wurde dieses Schreiben als PDF-Dokument an die Teilnehmer verschickt.<\/p>\n Der Leser merkt an: \"Das Schreiben wurde h\u00f6chstwahrscheinlich beh\u00f6rdentypisch in Word erstellt.\" Nun kann man in Microsoft Word eine automatische Silbentrennung aktivieren. Diese Option ist wohl im Word, mit dem die Einladung erstellt wurde, aktiviert gewesen. Florian schrieb dazu, dass die Word Silbentrennung\u00a0dem Webex Teilnahme-Link (nachfolgend ein Beispiel):<\/p>\n *https:\/\/sqdemo6.dmz.webex[.]com\/sqdemo6\/k2\/j.php?MTID=xxx<\/p>\n eine Silbentrennung verpasst. Aus dem obigen Link wird dann so etwas wie nachfolgend gezeigt – webex[.]com<\/em> wird zu we-bex[.]com<\/em>.<\/p>\n *https:\/\/sqdemo6.dmz.we-bex[.]com\/sqdemo6\/k2\/j.php?MTID=xxx<\/p>\n Ich habe hier im Beitrag die Links so umgewandelt, dass keine Links entstehen – wer den Link aufl\u00f6sen m\u00f6chte, sollte nur in einer Sandbox testen.<\/p>\n Florian schrieb mir dazu: \"Relevant ist hier das we-bex[.]com<\/em>\". Er merkte noch an, dass er diese URL bzw. die Zielseite als eher b\u00f6sartig bezeichnen w\u00fcrde, da diese auf verschiedene andere Seiten weiter leitet. Im vorliegenden Fall w\u00e4re ein \"Browser Notification Scam\" angeboten worden.<\/p>\n In der Meinung, einer Webex-Konferenz beizutreten, bei der man auch unter Umst\u00e4nden auch Mikrofon- und Videoberechtigung erteilt, haben einige Teilnehmer das erlaubt und erhielten nat\u00fcrlich diverse Popups \u00fcber Vireninfektionen.<\/p>\n Als mir die Mail auf den Schreibtisch kam, habe ich etwas getestet. Die Domain wird nach dieser Seite<\/a> seit dem 24. Juni 2021 von einer deutschen Key-Systems GmbH gehalten. Das ist ein Internetanbieter in Sankt Ingbert im Saarland. Ich tippe darauf, dass die Domain da missbr\u00e4uchlich in einem Hosting-Paket (Domain-ID 2621986887_DOMAIN_COM-VRSN) registriert wurde.<\/p>\n Die oben verfremdete Einladungs-URL mit dem Bindestrich in der webex-URL kann man mit VirusTotal pr\u00fcfen lassen. Da wird alles im \"gr\u00fcnen Bereich\" signalisiert<\/a> – die Umleitung erkennt vermutlich VirusTotal.<\/p>\n Ich habe danach die Zieladresse mal im Inkognito-Modus eines Browsers getestet und wurde auf die oben im Screenshot gezeigte Seite per Redirect weitergeleitet. Wegen der http-URL verweigerte der Browser das Rendering. Dann habe ich die betreffende Redirect-URL erneut in VirusTotal pr\u00fcfen lassen.<\/p>\n Das Ergebnis<\/a> sieht jetzt bereits anders aus – mehrere Virenscanner erkennen das Ziel als sch\u00e4dliche oder verd\u00e4chtige Seite. Also Finger weg von der URL.<\/p>\n Blog-Leser Florian hat mir noch beschrieben, wie man dies testen k\u00f6nne.\u00a0Nachbauen k\u00f6nnen das jeder selbst in Microsoft Word, indem ein Dokument mit der Schriftgr\u00f6\u00dfe 11 und automatischer Silbentrennung aktiviert, verfasst wird (siehe Screenshot).<\/p>\n Florian schloss seine erste Mail mit \"Evtl. interessant f\u00fcr deine Leser \u2013 kann ich nicht beurteilen. Ich musste es einfach irgendwo loswerden, da das einer besten und erfolgreichsten Phishing-Versuche der letzten Zeit ist. W\u00e4re dahinter eine gef\u00e4lschte Anmeldeseite f\u00fcr ein Citrix Portal, Microsoft 365 oder \u00e4hnliches gewesen, die Benutzer h\u00e4tten sich mit sehr hoher Wahrscheinlichkeit dort angemeldet.\" Er merkte an, dass er das\u00a0Beispiel auf jeden Fall in die Security Awareness-Trainings des Unternehmens einflie\u00dfen l\u00e4sst.<\/p>\n Ich hatte dem Leser meine obigen Erkenntnisse mit dem Kurztest auf VirusTotal mitgeteilt. Darauf hin meldete sich Florian in einer Folgemail und schrieb, dass sie im Unternehmen mit VirusTotal noch nichts gepr\u00fcft h\u00e4tten. Es wurde von der IT nur der erste Redirect, der per JavaScript passiert, bemerkt. Im IT-Umfeld wird auf den Clients in der Regel eine Sicherheitsl\u00f6sung von Trend Micro eingesetzt, die das Problem mit dem Redirekt auf eine sch\u00e4dliche Seite aber auch nicht erkennen.<\/p>\n Interessenhalber haben die Leute in der IT noch etwas weiter getestet und herausgefunden, dass das Problem nicht durch Microsoft Word verursacht wird. Hier seine Testergebnisse:<\/p>\n Der Leser merkt dazu an, dass er vermutet, dass das Problem auch auch bei anderen\u00a0 PDF-Druckern wie Print2PDF so auftritt. Florian glaube zwar tats\u00e4chlich nicht, dass das jemand beabsichtigt hat, und die Domain genau daf\u00fcr registriert hat. Ich gehe aber davon aus, dass sich schon jemand die Bindestrich URL f\u00fcr zwielichtige Zwecke registriert hat.<\/p>\n Florian merkt an, dass dieser \"Phishing-Ansatz\"\u00a0nicht zu Ende gedacht sei. Denn die Redirekt-URL m\u00fcsste eine sch\u00e4dliche exe-Datei zum Download anbieten, damit viele Opfer diesen Download dann ausf\u00fchren w\u00fcrden. Das sei ja auch bei der regul\u00e4ren Teilnahme an einem Meeting oft so. Hier w\u00fcrde ich nicht wirklich mitgehen, denn der Inhaber der Domain kann mit seinem Redirect ja auf beliebige Ziele verlinken und wahlweise Phishing-Seiten, Downloads oder was wei\u00df ich anbieten. Also den obigen Sachverhalt einfach mal auf dem Radar behalten.<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Mir ist von einem Blog-Leser eine sehr krude Geschichte zugespielt worden. Ein mit Microsoft Word erzeugtes Dokument enthielt eine WebEx-Einladung. Durch die Silbentrennung wurde ein \"Phishing-Link\" erzeugt, der auf obskure Seiten umleitete. Sp\u00e4ter stellte sich heraus, dass die PDF-Konverter die … Weiterlesen Blog-Leser Florian hat sich dies Woche per E-Mail unter dem Betreff Word erzeugt \"Phishing\"-Angriff<\/em> bei mir gemeldet und eine Beobachtung geschildert, die erneut zeigt, dass der Teufel im Detail liegt.<\/p>\n
Falsche Link-Ziel erzeugt Redirect<\/h2>\n
Ein kurzer Test meinerseits<\/h2>\n
![\"Ergebnis](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2025\/03\/VirusTotal-Phising-URL-1.jpg\")
<\/a>
\nZum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n![\"Phishing](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2025\/03\/phishing-redirect.png\")
<\/p>\n![\"VirusTotal](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2025\/03\/VirusTotal-Phishing-Seite.jpg\")
<\/a><\/p>\nWer es selbst testen m\u00f6chte<\/h2>\n
![\"Word](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2025\/03\/Word-Silbentrennung.jpg\")
<\/a><\/p>\nWord ist unschuldig – es passiert beim PDF-Export<\/h2>\n
\n