![\"Mail\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2016\/07\/Mail.jpg\" "\\"Gmail\\"")
Das Unternehmen WEKO Wohnen GmbH hat die Woche eine E-Mail an diverse Kunden geschickt, in der vor Phishing-Mails, die im Namen des Unternehmens verschickt werden, gewarnt wird. Es wurden mutma\u00dflich zwei Mitarbeiter-Konten gehakt. Ich habe die Phishing-Mail, die angeblich ein PDF auf OneDrive hostet, mal etwas genauer angeschaut und das Ganze dokumentiert. Scanner wie Virustotal schlagen \u00fcbrigens nicht an.<\/p>\n
<\/p>\n
Blog-Leser Benjamin S. hat mir zum 12. November eine Warnung vor Phishing-Mails im Namen von weko.com zugeschickt. Die WEKO Wohnen GmbH ist ein Hersteller von B\u00fcrom\u00f6beln, und Unbekannte missbrauchen den Namen, um Phishing-Mails zu versenden.<\/p>\n
Nachfolgender Screenshot zeigt den Inhalt der Phishing-Mail. Es handelt sich um eine E-Mail, die im Namen einer Weko-Projektleiterin verschickt wurde und sich angeblich um Planungsunterlagen f\u00fcr eine K\u00fcche dreht.<\/p>\n
![\"Phishing-Mail](\"https:\/\/i.postimg.cc\/bNCCS5Kc\/image.png\")
<\/p>\n
Der dort angegebene Link f\u00fchrt auf ein OneDrive-Laufwerk, der von Virustotal nicht bem\u00e4ngelt wird. Ich habe das Ganze weiter analysiert.<\/p>\n
Auf dem OneDrive-Laufwerk findet sich dann eine PDF-Datei, die der Empf\u00e4nger \u00f6ffnen soll.<\/p>\n
![\"Phishing-Nachricht](\"https:\/\/i.postimg.cc\/bY3rb0Lw\/image.png\")
<\/p>\n
Der Kontextmen\u00fcbefehl zum Kopieren des Links \"KLICKEN SIE HIER, UM DAS DOKUMENT ANZUSEHEN\" ist gesperrt. Zeigt man auf den Link, wird in der Fu\u00dfzeile die URL https: \/\/prozessing. spbrealty. info\/safe<\/em> eingeblendet. Das ist aber lediglich eine in den USA gehostete Webseite ohne weitere Inhalte, die der Phisher f\u00fcr eigene Zwecke angelegt hat.<\/p>\n Klickt der Empf\u00e4nger der Phishing-Mail auf den betreffenden Link, um das vermeintliche Dokument mit der K\u00fcchenplanung als PDF anzusehen, wird folgendes angezeigt. Die Seite erweckt den Anschein, dass ein besonders gesichertes Dokument der Anzeige harrt.<\/p>\n Nachfolgend habe ich mal den Header der betreffenden Phishing-Mail zur Information eingestellt.<\/p>\n Die Mail stammt also von Weko und das Unternehmen best\u00e4tigt weiter unten, dass kompromittierte E-Mail-Konten zum Versand missbraucht wurden..<\/p>\n Weko hat dann die Empf\u00e4nger dieser Phishing-Mail kontaktiert und eine Warnung mitgeliefert.\u00a0Ich stelle den Inhalt der Mail, in der die WEKO Wohnen GmbH vor diesen Phishing-Mails warnt, hier mal zur Informationen ein.<\/p>\n Von:<\/b> *** <***@weko.com> bitte beachten Sie, dass heute eine Phishing-E-Mail aus unserem Hause an einen begrenzten Personenkreis versendet wurde. Sie sind einer der Empf\u00e4nger.<\/p>\n Die Nachricht wurde \u00fcber das Postfach von Frau ***(***@weko.com<\/u>) oder Herrn **** (***@weko.com<\/u>) verschickt, deren Zugang unbefugt verwendet wurde.<\/p>\n Wichtige Hinweise:<\/p>\n Der Vorfall wird derzeit untersucht, und es wurden bereits entsprechende Sicherheitsma\u00dfnahmen eingeleitet, um weiteren Versand zu verhindern.<\/p>\n R\u00fcckfragen bitte an die Mail-Adresse it-security@weko.com.<\/p>\n Vielen Dank f\u00fcr Ihre Aufmerksamkeit und Ihr umsichtiges Handeln.<\/p>\n Freundliche Gr\u00fc\u00dfe<\/p>\n *** Ich habe in obiger Mail die Namen der Beteiligten verschleiert. Es sieht so aus, dass zwei Benutzerkonten des Weko-Mailsystems gehackt und zum Mailversand missbraucht werden konnten.<\/p>\n","protected":false},"excerpt":{"rendered":" Das Unternehmen WEKO Wohnen GmbH hat die Woche eine E-Mail an diverse Kunden geschickt, in der vor Phishing-Mails, die im Namen des Unternehmens verschickt werden, gewarnt wird. Es wurden mutma\u00dflich zwei Mitarbeiter-Konten gehakt. Ich habe die Phishing-Mail, die angeblich ein … Weiterlesen Die Phishing-Seite<\/h3>\n
![\"Phishing-Seite\"](\"https:\/\/i.postimg.cc\/tTV0Tjrt\/image.png\")
Die Schaltfl\u00e4che\u00a0Sign In with Microsoft to Access\u00a0<\/em>zeigt aber, wessen Geistes Kind das Ganze ist. Klickt der Empf\u00e4nger auf die Schaltfl\u00e4che und gibt die Anmeldedaten f\u00fcr sein Microsoft Konto ein, hat der Phisher Erfolg und die Daten sind weg.<\/p>\nDer Header der Mail<\/h3>\n
Received: from FR5P281MB4764.DEUP281.PROD.OUTLOOK.COM (2603:10a6:d10:151::5)\r\n by FRYP281MB0174.DEUP281.PROD.OUTLOOK.COM with HTTPS; Wed, 12 Nov 2025\r\n 10:28:10 +0000\r\nARC-Seal: i=3; a=rsa-sha256; s=arcselector10001; d=microsoft.com; cv=fail;\r\n b=UaSlLenEYv8lMdAugB4QNgc0oeUX1ZzIetuaf6Q1tb4QKWIBYAPKJumyiVzDNcABKMOZLm41W8yIacU0VvJFcEmP0Z3lYzlnBHgskdzYwsFg4bHnSy0Se5DT2HctjXKnTzw\/xlNwHuEbThaRMkNu4161CvCftIlCbJo9s8kT9qGM8KBPu+0ew4SyD4qcq85d7pxVo0bZjU7PUNJeSkm3mDRHpcml8FskTmLTb0AYr1nym0ecvyH6vT+C\/Lue35iay\/adB4aHZ8vc7GQ6mnf8IEIxR\/H92e+Ea2tJi2nfst20ahH\/bZt7BgqSRidLjaA4g18YE+MBGW3ZjNQW+y\/EAw==\r\nARC-Message-Signature: i=3; a=rsa-sha256; c=relaxed\/relaxed; d=microsoft.com;\r\n s=arcselector10001;\r\n h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-AntiSpam-MessageData-ChunkCount:X-MS-Exchange-AntiSpam-MessageData-0:X-MS-Exchange-AntiSpam-MessageData-1;\r\n bh=cgGshnm3qk7dfmxDUehsoPo7QA3q1ZjbX+fuEyX7Iks=;\r\n b=Dn1YkXftDvYlUW0gJ2VSzagWlPJD2Pu+UaK9yNf9bW2beU7VEojT2L+6dNPOnPmT9XhuYLUhHLz5MCRTJ\/npY1AmTIRf2GbG\/3vVewTIQ2hk5QfppkAn1ICQGHXlDcKpBXn5Sh8FSU4VBzGpRGI\/EIJyHAkFBz4iMx7Jj+6IuQj9x\/y8U6N6pAQgPoUmfQdq+ry7j2qayWra0J5ezjDGm0DOy6SgOgMYaensRR4XLm8vl+EecMiQI\/tSzXRaCfHQVO1oWv6GjWR8lGq1iajZIweTzvZxZ3vK5aiLSqkpYalr6XpvYM+EEp8ijUokacKUhK3H09nPiOLCCXEJMwOIPw==\r\nARC-Authentication-Results: i=3; mx.microsoft.com 1; spf=pass (sender ip is\r\n 94.100.128.29) smtp.rcpttodomain=oh-muenchen.de smtp.mailfrom=weko.com;\r\n dmarc=pass (p=none sp=none pct=100) action=none header.from=weko.com;\r\n dkim=fail (signature did not verify) header.d=weko.com; arc=fail (48)\r\nReceived: from FR4P281CA0214.DEUP281.PROD.OUTLOOK.COM (2603:10a6:d10:e4::10)\r\n by FR5P281MB4764.DEUP281.PROD.OUTLOOK.COM (2603:10a6:d10:151::5) with\r\n Microsoft SMTP Server (version=TLS1_2,\r\n cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.9320.15; Wed, 12 Nov\r\n 2025 10:25:53 +0000\r\nReceived: from FR2PEPF000004EF.DEUP281.PROD.OUTLOOK.COM\r\n (2603:10a6:d10:e4:cafe::a0) by FR4P281CA0214.outlook.office365.com\r\n (2603:10a6:d10:e4::10) with Microsoft SMTP Server (version=TLS1_3,\r\n cipher=TLS_AES_256_GCM_SHA384) id 15.20.9320.16 via Frontend Transport; Wed,\r\n 12 Nov 2025 10:25:52 +0000\r\nAuthentication-Results: spf=pass (sender IP is 94.100.128.29)\r\n smtp.mailfrom=weko.com; dkim=fail (signature did not verify)\r\n header.d=weko.com;dmarc=pass action=none header.from=weko.com;compauth=pass\r\n reason=100\r\nReceived-SPF: Pass (protection.outlook.com: domain of weko.com designates\r\n 94.100.128.29 as permitted sender) receiver=protection.outlook.com;\r\n client-ip=94.100.128.29; helo=mx-relay19-hz1-if1.hornetsecurity.com; pr=C\r\nReceived: from mx-relay19-hz1-if1.hornetsecurity.com (94.100.128.29) by\r\n FR2PEPF000004EF.mail.protection.outlook.com (10.167.240.36) with Microsoft\r\n SMTP Server (version=TLS1_3, cipher=TLS_AES_256_GCM_SHA384) id 15.20.9320.13\r\n via Frontend Transport; Wed, 12 Nov 2025 10:25:53 +0000\r\nARC-Authentication-Results: i=2; mx-gate19-hz1.hornetsecurity.com 1; spf=pass\r\n reason=mailfrom (ip=52.101.69.100, headerfrom=weko.com)\r\n smtp.mailfrom=weko.com\r\n smtp.helo=am0pr83cu005.outbound.protection.outlook.com; dmarc=pass\r\n header.from=weko.com orig.disposition=pass\r\nARC-Message-Signature: a=rsa-sha256;<\/pre>\n
Die Warnung von Weko<\/h2>\n
\nGesendet:<\/b>\u00a0Mittwoch, 12. November 2025 12:47
\nAn:<\/b>\u00a0it-security@weko.com <it-security@weko.com>
\nBetreff:<\/b>\u00a0Phishing-Mail von weko.com
\nACHTUNG:\u00a0Diese E-Mail stammt von einem externen Absender. Bitte vermeiden Sie es, Anh\u00e4nge oder externe Links zu \u00f6ffnen
\nSehr geehrte Damen und Herren,<\/p>\n\n
\nDatenschutz & Compliance-Manager
\nRecht & Risiko<\/p><\/blockquote>\n