Phishing-as-a-Service: Angriff per Baukasten.

W3LL Phishing-Netzwerk zerschlagen: FBI stoppt Millionenbetrug mit 500-Dollar-Toolkit

14.04.2026 von Antonia Frank Lesezeit: 4 Min.

W3LL Phishing-Netzwerk zerschlagen: FBI stoppt Millionenbetrug mit günstigem Toolkit. Der Entwickler wurde festgenommen.

Ermittler haben den mutmaßlichen Phishing-Netzwerk-Entwickler von W3LL, einem der effektivsten Phishing-as-a-Service-Angebote der letzten Jahre, festgenommen. Für wenige hundert Dollar konnten Cyberkriminelle damit auf eine Infrastruktur zugreifen, die gezielt auf das Abgreifen von Zugangsdaten ausgelegt war. Ermittler aus den USA und Indonesien haben den Aktivitäten vorerst ein Ende gesetzt.

Internationaler Schlag gegen organisierten Phishing-Service

Nach Angaben des FBI-Büros in Atlanta haben das FBI und indonesische Strafverfolgungsbehörden in einer gemeinsamen internationalen Operation ein weit verzweigtes Phishing-System ausgehoben. Im Zentrum stand das sogenannte W3LL Phishing-Netzwerk, das Cyberkriminellen weltweit den Zugriff auf professionelle Angriffswerkzeuge ermöglichte.

Angreifer konnten mit Hilfe dieser Infrastruktur die Login-Daten tausender Opfer abgreifen und Betrugsversuche im Umfang von über 20 Millionen US-Dollar durchführen. Die Ermittlungen führten schließlich zur Identifizierung und Festnahme des mutmaßlichen Entwicklers des Systems sowie zur Abschaltung zentraler Systeme.

Phishing-as-a-Service: Angriff per Baukastenprinzip

Das Angebot umfasste ein sogenanntes W3LL-Phishing-Kit, ein weit verbreitetes Werkzeug aus der Cybercrime-Szene. Damit konnten Kriminelle täuschend echte Login-Seiten nachbilden, um Opfer zur Eingabe ihrer Zugangsdaten zu verleiten.

Kritisch ist dabei vor allem die niedrige Einstiegshürde. Für rund 500 US-Dollar konnten sich Nutzer Zugriff auf das Toolkit verschaffen und ohne eigene Infrastruktur sofort mit Angriffen beginnen. Das Tool erweiterte dabei klassisches Phishing um zusätzliche Funktionen.

Sobald ein Opfer seine Daten eingegeben hatte, erfasste das Tool nicht nur Zugangsdaten, sondern auch Sitzungsinformationen. Dadurch konnten Angreifer Schutzmechanismen wie die Multi-Faktor-Authentifizierung umgehen und den Zugriff auf kompromittierte Konten aufrechterhalten. Marlo Graham, Special Agent des FBI in Atlanta, erklärte:

„Das war nicht einfach nur Phishing – es war eine vollwertige Cyberkriminalitätsplattform.“

W3LLSTORE: Marktplatz für gestohlene Zugänge

Ergänzt wurde das System durch den zugehörigen Marktplatz W3LLSTORE, auf dem kompromittierte Accounts und unautorisierte Zugänge gehandelt wurden. Dazu gehörten unter anderem Fernzugriffe auf Systeme sowie gestohlene Login-Daten.

Zwischen 2019 und 2023 wurden über diese Plattform mehr als 25.000 kompromittierte Konten verkauft. Auch nach der Abschaltung des Marktplatzes verlagerte sich der Handel offenbar auf verschlüsselte Messenger-Dienste, wo das Angebot weitergeführt und aktiv beworben wurde. Allein in den Jahren 2023 bis 2024 wurde laut Ermittlern das Tool genutzt, um über 17.000 Opfer anzugreifen.

Ermittler nehmen Infrastruktur und Entwickler ins Visier

Im Zuge der Ermittlungen konnten die Behörden zentrale Teile der technischen Infrastruktur identifizieren und beschlagnahmen. In enger Abstimmung mit der indonesischen Nationalpolizei wurde zudem der mutmaßliche Entwickler des Dienstes festgenommen.

Nach Erkenntnissen der Ermittler war dieser nicht nur für die Entwicklung verantwortlich, sondern sammelte und verkaufte auch selbst kompromittierte Zugangsdaten weiter. Mit der Abschaltung der Infrastruktur verlieren zahlreiche Cyberkriminelle eine zentrale Ressource, um sich unbefugten Zugriff auf die Konten ihrer Opfer zu verschaffen.

Zugangsdaten als Schlüssel für weitere Angriffe

Konkrete Zielbranchen nennen die Behörden nicht. Allerdings gelten abgegriffene Zugangsdaten in der Praxis als wertvolle Ressource für weiterführende Betrugsmaschen. Sie können genutzt werden, um bestehende Accounts zu übernehmen und so interne Kommunikation einzusehen oder zudem weitere Angriffe vorzubereiten.

Behörden feiern die Zerschlagung des W3LL Phishing-Netzwerks als einen bedeutenden Schlag gegen die organisierte Cybercrime-Szene. Zwar lassen sich solche Strukturen zerschlagen, das dahinterstehende Geschäftsmodell bleibt jedoch bestehen. Neue Anbieter dürften bereits in den Startlöchern stehen. Das Geschäftsmodell lebt weiter.

Illegales IPTV-Netzwerk zerschlagen: Behörden gehen global gegen Streaming-Piraterie vor.

Illegales IPTV-Netzwerk zerschlagen: Operation Switch Off trifft Millionen Nutzer weltweit

Operation Switch Off zerschlägt ein illegales IPTV-Netzwerk. Millionen Nutzer betroffen, Plattformen wie IPTVItalia und DarkTV offline.

Cardsharing im Visier – aber nicht mehr automatisch Computerbetrug.

Cardsharing kein Computerbetrug: BGH verneint den Vermögensschaden

Der BGH verneint den Vermögensschaden beim Pay-TV-Cardsharing. § 263a StGB scheidet aus, strafbar bleibt es dennoch.

Symbolbild: GPU-Deal oder Scam? Wenn der Karton mehr verspricht, als er hält.

RTX 5090 Amazon Betrug: Käufer erhalten Bauchtaschen statt Grafikkarten

RTX 5090 Amazon Betrug: Mindestens 42 Käufer bestellen eine Nvidia-Grafikkarte und erhalten stattdessen Bauchtaschen.

Proton Mail half dem FBI, einen Demonstranten zu identifizieren

Der auf Datenschutz spezialisierte E-Mail-Anbieter Proton Mail übermittelte dem FBI die Daten eines US-amerikanischen Demonstranten.

Ermittler durchsuchen Wohnungen im Raum Stuttgart: Über Kryptomixer sollen Kryptowährungen im Wert von rund 140 Millionen US-Dollar geflossen sein.

Kryptomixer-Razzia in Stuttgart: 140 Mio. Dollar im Visier der Ermittler

Kryptomixer-Razzia in Stuttgart: Ermittler durchsuchen Wohnungen wegen Geldwäsche. 140 Mio. Dollar sollen über Kryptomixer geflossen sein.

Wer die Session hat, braucht kein Passwort mehr.

Storm Infostealer umgeht 2FA: Malware übernimmt Accounts ohne Passwort

Der neue Storm Infostealer umgeht 2FA, kapert Accounts per Session-Hijacking und entschlüsselt Daten serverseitig.

Symbolbild: Ermittler werfen einem Fachinformatiker-Azubi mehrere Cybercrime-Delikte vor.

Cybercrime-Azubi vor Gericht: Über 500.000 Euro Schaden durch Online-Betrug

Einem 27-jährigen Azubi werden mehrere Cybercrime-Delikte vorgeworfen. Der Schaden soll mehr als 500.000 Euro betragen.

Symbolbild zum aktuellen BreachForums-Leak.

BreachForums erneut kompromittiert: Leak von 324.000 Accounts befeuert Honeypot-Verdacht

BreachForums erneut kompromittiert: Leak von 324.000 Accounts, IP-Adressen und PGP-Schlüssel entfacht neue Honeypot-Debatte.

Gefangen im System: Ransomware sperrt Daten weg und kassiert ab.

REvil-Hacker identifiziert: Weltweite Fahndung läuft

REvil-Hacker identifiziert: Ermittler fahnden weltweit nach den mutmaßlichen Drahtziehern hinter GandCrab und REvil.

Täuschend echt: Facebook-Anzeigen im MediaMarkt-Look sollen Nutzer mit angeblichen 4-Euro-Laptops in die Falle locken.

Facebook-Betrug: Angebliche MediaMarkt-Laptops für 4 Euro zielen auf Menschen ab 45

4-Euro-Laptops für Menschen ab 40? Hinter angeblichen MediaMarkt-Angeboten steckt dreister Facebook-Betrug.

Rohrstock ersetzt Richterhammer – Singapurs Antwort auf Online-Betrug.

Scammer in Singapur erhalten Stockschläge – harte Abschreckung gegen Online-Betrug

Singapur verschärft den Kampf gegen Online-Betrug drastisch. Vorgesehen sind bis zu 24 Stockschläge für Scammer und Syndikatsmitglieder.

Mit der Abschaltung von LeakBase und Tycoon 2FA trafen Ermittler zentrale Werkzeuge der Cyberkriminalität.

LeakBase und Tycoon 2FA abgeschaltet: Doppelschlag gegen Cybercrime-Lieferkette

LeakBase & Tycoon 2FA abgeschaltet: Zwei internationale Aktionen treffen zentrale Dienste der Cybercrime-Infrastruktur.

Kein Hack, kein Bug: Address Poisoning zeigt, wie gefährlich menschliche Routinen im Krypto-Alltag sind.

Address Poisoning Scam: Copy-Paste-Fehler kostet Krypto-Nutzer 50 Millionen Dollar

Address Poisoning Scam: Ein Krypto-Nutzer verliert 50 Millionen Dollar durch einen simplen Copy-Paste-Fehler.

Telegram für Cyberkriminelle zunehmend unattraktiv

Telegram greift vermehrt durch. Die längere Lebensdauer von Untergrund-Kanälen in diesem Netzwerk trifft auf viel höhere Sperrquoten.

Digitale Schatten: Illegale Streams öffnen Hackern das Tor ins Wohnzimmer.

IPTV-Betrug: Studie enthüllt massiven Scam mit Piraten-Streams

Neue Studie deckt auf: 40 % der illegalen Streamer werden Opfer von Betrug. IPTV-Betrug ist ein digitales Risiko.

Swissquote: Neue Phishing-Kampagne nutzt Steuerformular der IRS

Derzeit verschicken Cyberkriminelle Phishing-Mails im Namen der Swissquote Bank, die zur Erneuerung des W-8BEN-Forumlars auffordern.

Professionell gestaltete Scam-Apps simulieren Handel und Gewinne, während Betrüger im Hintergrund die Opfer steuern.

Online-Betrug: Wie Fake-Trading-Apps und Scam-Fabriken Europas Anleger abzocken

Online-Betrug nimmt weltweit zu: Fake-Trading-Apps, Social-Media-Anzeigen und Scam-Fabriken in Asien täuschen Anleger.

So sah die Bedienoberfläche von VerifTools aus. Gefälschte Ausweise gab es gegen Bezahlung!

Polizei nimmt Dienst für gefälschte Ausweise vom Netz

Polizei und FBI legten am gestrigen Mittwoch den Online-Dienst für gefälschte Ausweise still, VerifTools hatte Umsätze im Millionenbereich.