Über den Marktplatz W3LLSTORE konnten Kriminelle laut FBI tausende Zugangsdaten von Opfern stehlen und Betrugsversuche im Umfang von mehr als 20 Millionen US-Dollar unternehmen. „Das war nicht bloß Phishing — es war eine Cybercrime-Plattform mit vollem Leistungsumfang", sagte Marlo Graham, eine leitende Sonderermittlerin des FBI in Atlanta.

Sicherheitsexperten von Group-IB zufolge bediente die Plattform eine geschlossene Gemeinschaft von mindestens 500 Bedrohungsakteuren. Diese konnten ein maßgeschneidertes Phishing-Kit namens W3LL Panel erwerben, das zur Umgehung der Mehr-Faktor-Authentifizierung entwickelt wurde, sowie 16 weitere vollständig anpassbare Werkzeuge für Angriffe der Kategorie Business E-Mail Compromise (BEC).

Die Ermittler von Group-IB stellten fest, dass W3LLs Phishing-Werkzeuge zwischen Oktober 2022 und Juli 2023 zur Attacke auf mehr als 56.000 Microsoft-365-Firmenkonten in den USA, Großbritannien, Australien und Europa eingesetzt wurden. Das Unternehmen meldete seine Erkenntnisse den Strafverfolgungsbehörden. In einem Zeitraum von zehn Monaten dürften die Einnahmen von W3LL rund eine halbe Million US-Dollar erreicht haben.

Der W3LLSTORE wurde 2023 abgeschaltet, lebte laut FBI aber über verschlüsselte Messaging-Plattformen weiter. Kriminelle bewarben das Werkzeug weiterhin; von 2023 bis 2024 kam es bei Angriffen auf 17.000 Opfer weltweit zum Einsatz. Den Entwickler hinter der Plattform benannte das FBI nur als G.L; er soll Zugänge zu kompromittierten Konten persönlich gesammelt und weiterverkauft haben.

Nach Angaben des FBI machte digital ermöglichter Betrug 2025 den überwiegenden Teil aller Verluste aus, die dem Internet Crime Complaint Center (IC3) gemeldet wurden — insgesamt 17,6 Milliarden US-Dollar. Die Behörde hat im Jahr 2026 bereits zwei große Cybercrime-Foren ausgehoben: die abonnementbasierte Plattform Leakbase und den russischen Marktplatz RAMP.

Zudem arbeitete das FBI im Dezember mit der nigerianischen Polizei zusammen, um einen der mutmaßlichen Entwickler hinter dem abonnementbasierten Phishing-Kit RaccoonO365 festzunehmen. Ähnlich wie W3LLSTORE diente RaccoonO365 dazu, gefälschte Microsoft-Anmeldeportale zu erstellen, um Zugangsdaten abzugreifen und unbefugt auf die E-Mail-Plattformen von Unternehmen sowie Finanz- und Bildungseinrichtungen zuzugreifen.