Die US-Bundespolizei FBI und die Nationale Polizei Indonesiens haben eine umfangreiche gemeinsame Operation gegen die Infrastruktur der global agierenden Phishing-Plattform W3LL durchgeführt. Laut Ermittlern nutzten Cyberkriminelle das kommerzielle Phishing-Kit, um Zugangsdaten von tausenden Nutzerkonten zu stehlen und Betrug in Hoehe von mehr als 20 Millionen US‑Dollar zu versuchen. Im Zuge der Aktion wurden der mutmassliche Hauptentwickler, als G.L bezeichnet, festgenommen sowie zahlreiche Domains und Server beschlagnahmt.
W3LL als kommerzielles Phishing-Kit und Cybercrime-Oekosystem
W3LL war ein kommerzieller Phishing-Baukasten, mit dem Angreifer innerhalb weniger Minuten täuschend echte Login-Seiten aufsetzen konnten. Die gefälschten Oberflächen ahmten legitime Portale nahezu pixelgenau nach. Wer dort seine Zugangsdaten eingab, leitete diese faktisch direkt an die Angreifer weiter. Der Zugang zur Plattform wurde im Abo-Modell für rund 500 US‑Dollar angeboten – eine niedrige Einstiegshürde selbst für wenig erfahrene Täter.
Nach Analysen des in Singapur ansässigen Sicherheitsunternehmens Group-IB handelte es sich bei W3LL nicht nur um ein Script-Paket, sondern um ein vollwertiges Cybercrime-Oekosystem. Im Untergrund-Marktplatz „W3LL Store“ agierten etwa 500 aktive Kunden. Neben dem zentralen Phishing-Modul „W3LL Panel“ wurden dort spezialisierte Werkzeuge für Business Email Compromise (BEC), E-Mail-Adresslisten für Kampagnen sowie Zugänge zu bereits kompromittierten Servern angeboten.
Das FBI berichtet, dass über W3LL Store nicht nur Phishing-Tools, sondern auch gestohlene Zugangsdaten und Systemzugriffe gehandelt wurden, inklusive Remote-Desktop- (RDP-) Verbindungen. Zwischen 2019 und 2023 sollen so über 25.000 kompromittierte Konten verkauft worden sein. Der Entwickler von W3LL war nach Angaben von Experten mindestens seit 2017 aktiv und zuvor bereits durch Spam-Werkzeuge wie „PunnySender“ und „W3LL Sender“ für Massenmailings aufgefallen.
Technische Merkmale: Angriff auf Microsoft 365 und Umgehung von MFA
Adversary-in-the-Middle: Session-Cookies als Schluessel zum Konto
Im Fokus der Angreifer standen vor allem Microsoft-365-Unternehmenskonten, die häufig als Ausgangspunkt für BEC-Betrug genutzt werden. Ein aktueller Bericht von Hunt.io (März 2024) zeigt, dass W3LL systematisch die Technik Adversary-in-the-Middle (AiTM) einsetzte. Dabei schaltet sich ein vom Angreifer kontrollierter Server als „Mittelsmann“ zwischen Nutzer und echter Website und leitet den Datenverkehr transparent weiter.
Auf diese Weise gelang es den Tätern, nicht nur Benutzername und Passwort, sondern auch die sogenannten Session-Cookies abzugreifen – kleine Dateien, die dem Browser bescheinigen, dass der Nutzer bereits erfolgreich angemeldet ist. Mit diesen Cookies konnten sie Multi-Faktor-Authentifizierung (MFA) umgehen, selbst wenn das Opfer eine TAN oder Push-Bestaetigung korrekt eingegeben hatte. Der Angriff richtete sich damit explizit gegen Unternehmen, die zwar MFA eingeführt hatten, aber keine phishing-resistenten Verfahren wie FIDO2-Hardware-Token oder passkey-basierte Anmeldungen nutzten.
Weiterentwicklung, Code-Wiederverwendung und „cracked“ Versionen
Die französische Sicherheitsfirma Sekoia stellte bei der Analyse eines anderen Phishing-Kits namens „Sneaky 2FA“ Codefragmente fest, die direkt aus dem W3LL-Oekosystem stammten. Parallel tauchten in Untergrundforen immer wieder „cracked“ Versionen des W3LL-Kits auf. Diese unlizenzierte Verbreitung trug dazu bei, dass Kernideen und Techniken der Plattform über den urspruenglichen Betreiberkreis hinaus in weitere Werkzeuge einflossen.
Obwohl der W3LL Store offiziell bereits 2023 geschlossen wurde, lief die Operation laut FBI in veränderter Form weiter. Das Tool wurde umbenannt und in verschlüsselten Messaging-Diensten aktiv beworben. Zwischen 2023 und 2024 soll es bei Angriffen auf mehr als 17.000 Opfer weltweit eingesetzt worden sein. Der Entwickler sammelte kompromittierte Konten selbst ein, bündelte diese Zugänge und verkaufte sie erneut – ein typisches Muster im Modell Cybercrime-as-a-Service, das die Schadenswirkung pro Angriff nochmals erhöht.
Internationale Strafverfolgung und Handlungsbedarf fuer Unternehmen
Das FBI betont, dass die Zerschlagung der W3LL-Infrastruktur Cyberkriminellen einen der zentralen Zugangswege zu Benutzerkonten entzogen hat. Vertreter des FBI-Büros in Atlanta beschrieben W3LL nicht als einfache Phishing-Kampagne, sondern als „vollwertige Serviceplattform fuer Cyberkriminalität“. Der Fall unterstreicht die wachsende Bedeutung grenzueberschreitender Zusammenarbeit, da Infrastruktur, Betreiber und Opfer in unterschiedlichen Staaten verteilt sind.
Im groesseren Kontext reiht sich W3LL in einen Trend ein, den das FBI Internet Crime Complaint Center (IC3) seit Jahren beobachtet: BEC-Angriffe verursachten allein 2023 gemeldete Schäden in Milliardenhoehe – Branchenanalysen sprechen von rund 2,9 Milliarden US‑Dollar. Professionelle Toolkits wie W3LL senken die Einstiegshuerden drastisch. Selbst technisch wenig versierte Täter können hochkomplexe Angriffe mit MFA-Umgehung und gezielter Kompromittierung von Finanz- oder Vertriebsteams durchfuehren.
Fuer Unternehmen bedeutet dies, dass klassische Schutzmassnahmen wie einfache Phishing-Filter und SMS-TAN nicht mehr ausreichen. Notwendig sind mehrschichtige Sicherheitskonzepte: regelmässige Awareness-Trainings, phishingsichere Authentifizierung (z.B. FIDO2-Token, Passkeys), konsequente Härtung von Microsoft-365-Tenants (Conditional Access, Geo- und Device-Checks), strenge Rechtevergabe, Monitoring auffälliger Anmeldungen sowie ein geuebter Incident-Response-Prozess. Orientierung bieten u.a. Empfehlungen von BSI, ENISA und Microsoft zu Zero-Trust-Architekturen und BEC-Abwehr.
Die Zerschlagung von W3LL ist ein wichtiger Erfolg der Strafverfolgung, löst aber das Grundproblem nicht: Phishing-Kits sind austauschbar, die dahinterstehenden Methoden bleiben. Organisationen sollten die Gelegenheit nutzen, ihre Sicherheitsstrategie kritisch zu überprüfen, in robuste Authentifizierung, Schulung und Monitoring investieren und verdächtige Vorfälle konsequent melden. Wer jetzt proaktiv handelt, reduziert nicht nur das eigene Risiko, sondern erschwert es Angreifern insgesamt, auf dem Markt fuer gestohlene Zugangsdaten Profit zu machen.
