Das FBI hat gemeinsam mit internationalen Behörden die Phishing-Plattform W3LL zerschlagen – eine professionell betriebene Untergrundinfrastruktur, die Cyberkriminellen weltweit ermöglichte, Microsoft-365-Konten anzugreifen und Multi-Faktor-Authentifizierung zu umgehen. Der dokumentierte Schaden: rund 20 Millionen US-Dollar.
FBI schaltet Phishing-Plattform W3LL ab – Schaden in zweistelliger Millionenhöhe
Das FBI hat in Zusammenarbeit mit internationalen Behörden die kriminelle Infrastruktur hinter der Phishing-Plattform W3LL zerschlagen. Die Plattform richtete sich gezielt gegen Microsoft-365-Konten und verursachte nach Erkenntnissen der Ermittler einen Gesamtschaden von rund 20 Millionen US-Dollar.
Professionell aufgestellte Untergrundplattform
W3LL war kein einfaches Phishing-Tool, sondern ein vollständig kommerzialisiertes Angebot im sogenannten Phishing-as-a-Service-Modell. Betreiber stellten anderen Cyberkriminellen gegen Bezahlung eine fertige Infrastruktur zur Verfügung – inklusive vorgefertigter Phishing-Kits, technischem Support und regelmäßigen Updates, um Sicherheitsfilter zu umgehen.
Besonders problematisch war die Fähigkeit der Plattform, Multi-Faktor-Authentifizierung zu umgehen. W3LL nutzte sogenannte Adversary-in-the-Middle-Techniken (AiTM), bei denen Angreifer den Authentifizierungsvorgang in Echtzeit abfangen und gültige Session-Tokens stehlen – bevor der eigentliche Nutzer überhaupt Kenntnis erlangt.
Diese Methode hebelt eine der wichtigsten Schutzmaßnahmen aus, auf die viele Unternehmen nach wie vor als ausreichende Absicherung vertrauen.
Die Plattform bot unter anderem eine eigene Administrationsoberfläche, automatisierte Kampagnenverwaltung und Echtzeit-Benachrichtigungen über erfolgreiche Anmeldedatendiebstähle – ein Professionalisierungsgrad, der selbst erfahrene Sicherheitsforscher alarmierte.
Ausmaß und Opferstruktur
Den Ermittlungen zufolge wurden über die W3LL-Infrastruktur mehr als 500 Unternehmenskonten kompromittiert. Die Angriffe zielten primär auf mittelständische und große Organisationen, die Microsoft 365 im produktiven Betrieb einsetzen – ein Profil, das auf einen erheblichen Teil der deutschsprachigen Unternehmenslandschaft zutrifft.
Business E-Mail Compromise (BEC) – die gezielte Manipulation von Geschäftskommunikation zur Auslösung betrügerischer Zahlungen – war dabei eine der häufigsten Folgeaktivitäten nach einem erfolgreichen Kontoangriff.
Der finanzielle Schaden summierte sich laut FBI auf 20 Millionen Dollar. Dieser Betrag erfasst allerdings nur die direkt nachverfolgbaren Verluste – indirekter Schaden durch Datenverlust, Reputationsschäden und Wiederherstellungskosten dürfte deutlich höher liegen.
Behördliche Kooperation und technische Erkenntnisse
Die Abschaltung gelang im Rahmen einer koordinierten internationalen Aktion, an der neben dem FBI auch Strafverfolgungsbehörden aus mehreren Ländern beteiligt waren. Dabei wurden Server beschlagnahmt und Domänen gesperrt.
Solche Operationen gegen Phishing-as-a-Service-Infrastrukturen sind aufwendig, da die Betreiber ihre Systeme häufig über mehrere Jurisdiktionen verteilen und Hosting-Dienste in regulierungsschwachen Regionen nutzen. Sicherheitsforscher hatten W3LL bereits vor der Abschaltung dokumentiert und auf die professionelle Qualität der Kits hingewiesen.
Einordnung für deutsche Unternehmen
Für Unternehmen im deutschsprachigen Raum unterstreicht der Fall W3LL eine zentrale Erkenntnis:
Standardisierte Multi-Faktor-Authentifizierung allein bietet keinen ausreichenden Schutz mehr, wenn Angreifer auf AiTM-Techniken setzen.
IT-Sicherheitsverantwortliche sollten konkret prüfen:
- Phishingresistente Authentifizierung: FIDO2-basierte Hardware-Token oder Passkeys statt klassischer MFA
- Conditional-Access-Richtlinien in Microsoft 365, die ungewöhnliche Anmeldemuster automatisch blockieren
- Klare interne Freigabeprozesse für Zahlungsanweisungen per E-Mail – da BEC-Angriffe häufig mit der Kompromittierung eines einzelnen Kontos beginnen