WeTransfer-Phishing ist aktuell eine der fiesesten Methoden, um Microsoft 365 / OneDrive / Outlook Accounts zu übernehmen – weil der Ablauf “normal” wirkt: Download-Link, Datei öffnen, Login.
In diesem Beitrag zeige ich dir den Angriff anhand eines realen Falls – inklusive Video – und erkläre, warum eine HTML-Datei gefährlich sein kann, obwohl sie auf den ersten Blick harmlos aussieht.
Worum geht’s?
Ein Angreifer lockt dich über einen scheinbar legitimen WeTransfer-Link zu einem Download. Statt eines PDFs oder Dokuments bekommst du eine HTML-Datei, die ein Fake OneDrive-Login öffnet. Sobald du dort dein Passwort eingibst, kann dein Microsoft-Konto kompromittiert werden.
Warum ausgerechnet WeTransfer?
Viele kennen WeTransfer als seriösen Dienst zum Teilen von Dateien. Genau dieses Vertrauen wird ausgenutzt. Ein Link zu WeTransfer löst bei vielen weniger Misstrauen aus als eine unbekannte File-Share-Seite – und genau das erhöht die Klickrate.
So läuft der Angriff ab
Das Muster ist fast immer gleich: Du bekommst eine Mail, die nach Dokumenten, Bestellung oder “freigegebenen Dateien” klingt. Der Link führt auf eine Seite, die wie ein normaler Download wirkt. Du lädst eine Datei herunter – häufig mit Namen wie Rechnung.html oder Dokumente.html.
Beim Öffnen startet dein Browser und zeigt eine täuschend echte OneDrive/Microsoft-Anmeldeseite. Viele denken: “Ah, Microsoft will kurz bestätigen” – und tippen ihre Zugangsdaten ein.
Warum die HTML-Datei der kritische Punkt ist
Eine HTML-Datei ist im Prinzip “eine Webseite als Datei”. Öffnest du sie, kann sie eine Login-Seite nachbauen, dich weiterleiten oder Formulareingaben an einen Server senden. Das Gemeine: Ein “Dokument” wirkt harmlos – aber im Browser wird daraus plötzlich ein Login.
So erkennst du den Fake schnell
Schau dir die Adresse im Browser an: Ist das wirklich eine saubere Microsoft-Domain? Und frag dich: Warum ist das ein .html und kein PDF/DOCX? Wenn zusätzlich Druck aufgebaut wird (“läuft ab”, “dringend”, “sofort ansehen”), ist das fast immer ein Warnsignal.
So schützt du dein Microsoft 365 Konto nachhaltig
Aktiviere MFA (am besten per Authenticator-App), nutze einen Passwort-Manager und prüfe verdächtige Logins. Für KMU lohnt sich zusätzlich Security Defaults oder Conditional Access. Und ganz wichtig: Im Team kurz erklären, dass “HTML-Datei ≠ Dokument” ist.
Video zum Fall
Im Video zeige ich dir den Ablauf im Detail und worauf du in der Praxis achten solltest.
Takeaway: WeTransfer ist nicht “das Problem”. Der Angreifer nutzt den vertrauten Download-Flow als Tarnung. Kritisch wird es, wenn eine HTML-Datei ein Login auslöst.