PhishingHackerangriffeCyberkriminalität

FBI zerschlägt globales W3LL-Phishing-Netzwerk: 20 Millionen Dollar Schadensumme

FBI zerschlägt globales W3LL-Phishing-Netzwerk: 20 Millionen Dollar Schadensumme
Zusammenfassung

FBI und indonesische Polizei haben ein globales Phishing-Netzwerk zerschlagen, das mit dem W3LL-Toolkit über 20 Millionen Dollar Betrugsversuche verursacht hat. Die international koordinierte Operation führte zur Festnahme des mutmaßlichen Entwicklers und zur Beschlagnahme zentraler Domains der kriminellen Infrastruktur. Das W3LL-System funktionierte als umfassende Cybercrime-Plattform, mit der Kriminelle täuschend echte Login-Seiten nachbildeten, um Zugangsdaten zu stehlen – für nur etwa 500 Dollar Lizenzgebühr konnten sich Angreifer Zugriff auf das Toolkit sichern. Die Plattform bot zudem einen Marktplatz, auf dem mehr als 25.000 kompromittierte Konten zwischen 2019 und 2023 gehandelt wurden. Besonders Microsoft-365-Konten standen im Fokus, wobei das System auch Zwei-Faktor-Authentifizierung umgehen konnte. Für deutsche Unternehmen und Privatnutzer ist diese Entwicklung hochrelevant: Sie waren ebenfalls Ziele dieser Angriffe, insbesondere kleine und mittlere Unternehmen sowie Behörden, die Microsoft-Systeme nutzen. Obwohl die W3LL-Plattform 2023 angeblich stillgelegt wurde, setzte sich die Aktivität über verschlüsselte Kanäle fort, bis zur endgültigen Zerschlagung im Jahr 2024. Die Dismantling-Operation zeigt, wie wichtig internationale Zusammenarbeit gegen Cyberkriminalität ist – ein Erfolg, von dem auch deutsche Institutionen profitieren.

Das W3LL-Phishing-Netzwerk war weit mehr als nur ein einfaches Betrugswerkzeug – es handelte sich um eine vollständige Cybercrime-Plattform im Dunkeln Web. Für etwa 500 US-Dollar konnten Kriminelle auf dem sogenannten W3LL Store Zugang zu professionellen Phishing-Tools, Mailing-Listen und sogar Zugriffen auf kompromittierte Server erwerben. Das System ermöglichte es Tausenden Cyberkriminellen, gefälschte Login-Seiten zu erstellen, die legitimen Plattformen täuschend ähnlich sahen.

Wie das Cybersecurity-Unternehmen Hunt.io berichtete, nutzte W3LL ausgefeilte Techniken wie Adversary-in-the-Middle-Attacken, um Session-Cookies zu kapern und damit selbst die Zwei-Faktor-Authentifizierung zu umgehen. Das war besonders gefährlich für Microsoft-365-Nutzer – eine Technologie, die in deutschen Unternehmen weit verbreitet ist.

Die Geschichte dieses Netzwerks reicht Jahre zurück. Der mutmaßliche Entwickler G.L. war bereits seit 2017 aktiv und hatte zuvor Spam-Tools wie PunnySender entwickelt. Die Sicherheitsfirma Group-IB dokumentierte W3LL erstmals im September 2023 und offenbarte das Ausmaß der Operation: Über 25.000 kompromittierte Accounts wurden zwischen 2019 und 2023 im W3LL Store verkauft.

Besonders bemerkenswert ist die Hartnäckigkeit dieser Operation. Auch nachdem der W3LL Store 2023 geschlossen wurde, setzten die Betreiber ihre Aktivitäten über verschlüsselte Messaging-Plattformen fort. Das Toolkit wurde umbenannt und aggressiv vermarktet. Zwischen 2023 und 2024 allein attackierte die weiterentwickelte Version über 17.000 Opfer weltweit.

Die internationale Zusammenarbeit zwischen dem FBI und der indonesischen Nationalpolizei zeigt, dass Behörden verstärkt gegen organisierte Cyberkriminalität vorgehen. “Das ist nicht nur Phishing – das ist eine vollständige Cybercrime-Plattform”, kommentierte Marlo Graham, Special Agent in Charge beim FBI Atlanta.

Die Zerschlagung dieser Infrastruktur schließt eine wichtige Quelle für Cyberkriminelle, entzieht ihnen aber nicht vollständig die Mittel. Sicherheitsexperten warnen, dass Varianten von W3LL und ähnliche Tools weiterhin im Umlauf sind. Deutsche Nutzer sollten daher wachsam bleiben und starke, eindeutige Passwörter nutzen – nicht nur bei Microsoft 365, sondern bei allen wichtigen Online-Konten.

Ähnliche Artikel