PhishingCyberkriminalitätHackerangriffe

FBI zerschlägt globale Phishing-Plattform W3LL – Entwickler verhaftet

FBI zerschlägt globale Phishing-Plattform W3LL – Entwickler verhaftet
Zusammenfassung

Das FBI hat gemeinsam mit indonesischen Behörden die globale Phishing-Plattform „W3LL" zerschlagen und den mutmaßlichen Entwickler verhaftet. Dies markiert die erste koordinierte Durchsetzungsaktion zwischen den USA und Indonesien gegen einen Phishing-Kit-Entwickler. Die W3LL-Plattform war ein Cybercrime-Marketplace, der Kriminellen ermöglichte, tausende Zugangsdaten zu stehlen und Betrugsfälle im Wert von über 20 Millionen Dollar zu versuchen. Der W3LL-Phishing-Kit kostete 500 Dollar und erlaubte Angreifern, täuschend echte Repliken von Corporate-Login-Portalen zu erstellen. Besonders kritisch war die Fähigkeit, Authentifizierungs-Session-Token zu erfassen und dadurch Multi-Faktor-Authentifizierung zu umgehen. Die zugehörige Marketplace W3LLSTORE ermöglichte den Handel mit über 25.000 kompromittierten Konten zwischen 2019 und 2023. Zwischen 2023 und 2024 wurde das Phishing-Kit gegen mehr als 17.000 Opfer weltweit eingesetzt. Für deutsche Nutzer und Unternehmen stellt dies eine wichtige Warnung dar: Die Zerschlagung zeigt zwar erfolgreiche internationale Zusammenarbeit, doch die Verbreitung von Phishing-Kits über verschlüsselte Kanäle bleibt eine anhaltende Bedrohung für deutsche Organisationen, insbesondere für Microsoft-365-Nutzer und Unternehmen, die BEC-Angriffen ausgesetzt sind.

Die W3LL-Phishing-Plattform war eine hochentwickelte Cybercrime-Operation, die weit über einfaches Phishing hinausging. Der von der Plattform angebotene Phishing-Kit ermöglichte es Angreifern, täuschend echte Repliken von Unternehmens-Login-Portalen zu erstellen. Die Besonderheit: Das Kit konnte Authentifizierungs-Session-Token erfassen – ein technischer Durchbruch, der es den Angreifern erlaubte, Multi-Faktor-Authentifizierung (MFA) zu umgehen und direkt in kompromittierte Konten zu gelangen.

Die Funktionsweise war dabei perfide: W3LL nutzte sogenannte Adversary-in-the-Middle-Angriffe, bei denen legitime Login-Portale über die Infrastruktur der Angreifer geleitet werden. Dies ermöglichte es den Cyberkriminellen, Zugangsdaten, One-Time-Passcodes und Session-Cookies in Echtzeit abzufangen. “Das war kein gewöhnliches Phishing – es war eine vollständig ausgestattete Cybercrime-Plattform”, kommentierte FBI Special Agent Marlo Graham.

Besonders bemerkenswert ist das geschäftliche Modell dahinter: Neben dem Verkauf von Phishing-Kits betrieb der Entwickler auch einen Marktplatz namens W3LLSTORE, auf dem kompromittierte Konten und Netzwerkzugriffe wie auf einem legalen Online-Shop gehandelt wurden. Zwischen 2019 und 2023 wurden mindestens 25.000 gestohlene Konten über diese Plattform verkauft.

Nach der Abschaltung von W3LLSTORE verlängerte sich die kriminelle Operation: Der Toolkit wurde über verschlüsselte Messaging-Plattformen unter neuem Namen weitergegeben und an andere Bedrohungsakteure verkauft. Zwischen 2023 und 2024 wurden mit W3LL mehr als 17.000 Opfer weltweit ins Visier genommen.

Die Plattform zielte gezielt auf Microsoft-365-Unternehmenskonten ab und war als vollständiges System konzipiert – vom initialen Zugriff bis zur Nachausnutzung. Typischerweise führte ein erfolgreicher Angriff zu Business-Email-Compromise-Attacken (BEC): Die Kriminellen überwachten Posteingänge, erstellten E-Mail-Regeln und gaben sich als Opfer aus, um Rechnungsbetrug zu begehen oder Zahlungen umzuleiten.

Die Beschlagnahme der W3LL-Infrastruktur durch die USA und Indonesien markiert einen Wendepunkt in der internationalen Strafverfolgung von Cybercrime-Plattformen. Allerdings warnen Sicherheitsexperten: Der Toolkit ist bereits in der kriminellen Untergrundbewegung verbreitet, weshalb Unternehmen ihre Sicherheitsmaßnahmen weiter verschärfen sollten.

Ähnliche Artikel