Über eine Million URLs stillgelegt: FBI zerschlägt riesigen KI-gestützten Phishing-Dienst

Dem FBI ist gemeinsam mit Google, dem Sicherheitsunternehmen Black Lotus Labs und anderen Beteiligten ein bedeutender Schlag gegen eine der größten bekannten Phishing-as-a-Service-Plattformen gelungen. Die Behörden nahmen dabei tausende Phishing-Websites und mehr als eine Million für die Angriffe genutzte URLs vom Netz.

Kriminalität wird zum Dienstleistungssektor

Als Verantwortliche nennen die Ermittler die chinesische Gruppierung „Outsider Enterprise“, die seit mindestens 2023 ein globales Netzwerk für ihre kriminellen Aktivitäten aufgebaut haben soll. Mithilfe KI-gestützter Werkzeuge sollen massenhaft täuschend echte SMS-Kampagnen im Namen bekannter Marken wie AT&T, T-Mobile und Verizon erstellt worden sein, um Kreditkartendaten, Zugangsdaten und weitere sensible Informationen abzugreifen. Die Gruppierung soll dabei jedoch nicht selbst direkt in Erscheinung getreten sein, sondern ihre Infrastruktur und Fähigkeiten als „Phishing-as-a-Service“ anderen Kriminellen zur Verfügung gestellt haben. Die Ermittler beschreiben die Organisation daher als professionell organisierten Dienstleister für Cyberkriminelle. Ferner gelang es den Behörden, einen Telegram-Bot zu übernehmen, über den Outsider Enterprise offenbar Kunden verwaltete und Informationen zu laufenden Phishing-Kampagnen austauschte.

Kein Trio mit vier Fäusten

Die Zerschlagung erfolgte im Rahmen der FBI-Operation „Riptide“, die auf die Bekämpfung großer Cybercrime-Infrastrukturen abzielt. Dabei beschlagnahmten die Ermittler mehrere Administrationsserver, schalteten einen Shopify-Onlineshop ab und übernahmen Testkonten der Betreiber. Zudem sicherte das FBI rund 100.000 US-Dollar in der Kryptowährung USDT. Tausende beschlagnahmte Domains leiten inzwischen auf eine Warnseite des FBI weiter.

Wie Google bereits am Freitag mitteilte, umfasste die Infrastruktur des Anbieters rund 9.000 gefälschte Websites und mehr als eine Million betrügerische URLs. Die Plattform soll weltweit Hunderttausende Menschen betroffen haben, zudem gehen die Behörden davon aus, dass mehr als 3,8 Millionen Kreditkartendaten kompromittiert wurden. Der wirtschaftliche Schaden wird dabei auf rund 1,9 Milliarden US-Dollar geschätzt. Allein in den ersten beiden Maiwochen sollen über die Infrastruktur der Angreifer rund 2,5 Millionen gefälschte SMS-Nachrichten an Android-Nutzer versendet worden sein. 55.000 dieser Nachrichten wurden von den Empfängern wiederum als Betrugsversuche an Google gemeldet.

Google vielfach beteiligt

Die Beteiligung Googles beschränkt sich allerdings nicht auf die Unterstützung der Ermittlungen. Das Unternehmen will die Maßnahmen mit einer Zivilklage gegen die Betreiber begleiten und zugleich ein System etablieren, das betrügerische SMS bereits vor der Zustellung verlässlich erkennen und blockieren soll. Hierfür plant Google eine Zusammenarbeit mit verschiedenen Mobilfunkanbietern.

Gefahr kann nur durch große Kooperationen begegnet werden

Der Fall verdeutlicht zugleich, dass sich auch im kriminellen Umfeld zunehmend das Modell der Dienstleistung etabliert. Cyberkriminelle müssen nicht mehr selbst erhebliche Zeit, finanzielle Mittel und technisches Wissen in den Aufbau entsprechender Infrastrukturen investieren, sondern können direkt auf spezialisierte Anbieter zurückgreifen. Dadurch lassen sich gefälschte Nachrichten, Websites und Markenauftritte nicht nur in deutlich größerem Umfang automatisiert erstellen, sondern sie wirken zugleich immer glaubwürdiger.

Diese Angriffe lassen sich auf der anderen Seite zunehmend nur noch durch koordinierte internationale Kooperationen zwischen Strafverfolgungsbehörden, Technologieunternehmen und Telekommunikationsanbietern begegnen. Darauf verweist auch Brett Leatherman, stellvertretender Direktor der Cyberabteilung des FBI: „Gemeinsam mit Partnern wie Google können wir kriminelle Netzwerke auf eine Weise zerschlagen, wie es keine einzelne Organisation allein könnte“. Laut Rich Baich, CISO bei AT&T, blockiert oder kennzeichnet der Telekommunikationskonzern zudem jeden Monat Milliarden von Robocalls und Spam-SMS mithilfe von KI. Darüber hinaus arbeitet das Unternehmen mit der Industry Traceback Group zusammen, um Spam-Anrufe bis zu ihrer Quelle zurückzuverfolgen, was unmittelbar zu Strafverfolgungsmaßnahmen führen soll.