Phishing-as-a-Service industrialisiert Online-Betrug Automatisiertes Phishing fängt Einmal­passwörter ab und stiehlt Daten

Anbieter zum Thema

Group-IB Europe B.V.

sysob IT-Distribution GmbH & Co. KG

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Forscher haben ein mehrstufiges Phishing-Kit offengelegt, das sich als Aruba S.p.A. tarnt und über gefälschte 3D-Secure-Seiten Einmalpasswörter abfängt. Der Fall zeigt, wie Phishing-as-a-Service Betrug skaliert, mit Telegram als Schaltzentrale. Wir ordnen den Mechanismus ein und nennen konkrete Abwehrmaßnahmen für Unternehmen und Nutzer.

Phishing, eine der ältesten Cyber-Bedrohungen, erlebt durch Automatisierung eine Renaissance. Das Threat Intelligence Team von Group-IB hat kürzlich ein mehrstufiges Phishing-Framework aufgedeckt, das sich als Italiens größter IT-Anbieter Aruba S.p.A. ausgibt, und damit aufgezeigt, wie Phishing-as-a-Service (PhaaS) Online-Betrug industrialisiert.

Ein professionelles Phishing-Framework

Das Kit war kein einfacher Klon einer Anmeldeseite, sondern eine vollständige Anwendung, die auf Tarnung, Geschwindigkeit und Skalierbarkeit ausgelegt war. Es begann mit Spear-Phishing-E-Mails, in denen vor ablaufenden Diensten oder fehlgeschlagenen Zahlungen gewarnt wurde – klassische Taktiken, um Dringlichkeit zu suggerieren. Die Links in diesen Nachrichten enthielten vorab ausgefüllte Adressen, die mit jedem Ziel verknüpft waren, wodurch die gefälschten Anmeldeseiten legitim erschienen und das Misstrauen verringert wurde.

Phishing trotz Zwei-Faktor-Authentifizierung

Erfolgreiche Hacks trotz 2FA – das können Unternehmen tun

Sobald die Opfer darauf klickten, verlief der Angriff in vier automatisierten Schritten:

• 1. Umgehung: Ein CAPTCHA blockierte Bots und Scanner, um sicherzustellen, dass nur menschliche Ziele weiterkamen.

• 2. Diebstahl von Anmeldedaten: Eine perfekte Nachbildung des Aruba-Portals erfasste Benutzernamen und Passwörter.

• 3. Finanzielle Ausbeutung: Ein gefälschter Zahlungsbildschirm forderte geringe Gebühren, um Kartendaten zu stehlen.

• 4. OTP-Abfang: Eine gefälschte 3D Secure-Seite sammelte Einmalpasswörter und ermöglichte so Betrug in Echtzeit.

Jede Phase endete mit einer Weiterleitung zur echten Aruba-Website, wodurch die Kompromittierung verschleiert wurde.

Telegram als Kommandozentrale

Die Forscher von Group-IB fanden heraus, dass die Exfiltrations-Pipeline des Kits auf Telegram-Bots basierte. Gestohlene Daten – darunter Anmeldedaten und Zahlungsdetails – wurden sofort an private Chats gesendet und zur Redundanz lokal gesichert. Telegram hostete auch Kanäle, über die das Kit vertrieben und unterstützt wurde, ähnlich wie es legitime SaaS-Anbieter tun. Einige Versionen wurden sogar kostenlos angeboten, was den Zugang für unerfahrene Angreifer erleichterte.

Sicherheitskultur als Antwort

So wehren Unternehmen sich gegen KI-gestützte Phishing-Angriffe

Der Aufstieg von Phishing-as-a-Service

Diese Kampagne ist ein Beispiel für den Aufstieg von Phishing-as-a-Service, bei dem professionelle Entwickler komplette Phishing-Frameworks erstellen, aktualisieren und vermarkten. Diese gebrauchsfertigen Kits beseitigen technische Hindernisse und ermöglichen es jedem, überzeugende Angriffe in großem Umfang zu starten. Was früher fortgeschrittenes Fachwissen erforderte, funktioniert heute wie eine automatisierte Lieferkette: modular, Abonnement basiert und gemeinschaftsorientiert.

Durch die gezielte Attacke auf ein Unternehmen, das in die digitale Infrastruktur Italiens eingebettet ist, strebten die Angreifer hohe Gewinne an – die Kontrolle über Domains, Websites und E-Mail-Systeme. Jede gestohlene Zugangsberechtigung könnte ganze Netzwerke gefährden.

Verteidigung gegen industrialisiertes Phishing

Diese Entdeckung macht deutlich, warum traditionelle Ratschläge wie „Klicken Sie nicht auf verdächtige Links“ allein nicht ausreichen. Unternehmen und Nutzer müssen mehrschichtige, informationsgestützte Abwehrmaßnahmen ergreifen.

Für Unternehmen und Dienstleister:

• Verwenden Sie sichere E-Mail-Gateways und setzen Sie SPF, DKIM und DMARC durch.

• Überwachen Sie gefälschte Domains und fordern Sie deren sofortige Entfernung.

• Wenden Sie Zero-Trust-Richtlinien für alle kritischen Aktionen an.

• Leiten Sie Zahlungen über verifizierte Bankensysteme mit Multi-Faktor-Authentifizierung weiter.

Für Endnutzer:

• Seien Sie skeptisch gegenüber dringenden oder zahlungsbezogenen Nachrichten.

• Melden Sie sich manuell bei Konten an, anstatt eingebettete Links zu verwenden.

• Denken Sie daran, dass HTTPS keine Legitimität garantiert.

• Aktivieren Sie die Multi-Faktor-Authentifizierung – vorzugsweise Passkeys – und verwenden Sie einen Passwort-Manager.

Personal-, Lohn- und Finanzabteilungen im Fokus

Personalisierte Angriffe mit KI statt Massen-Phishing

Eine neue Ära skalierbarer Täuschung

Die Erkenntnisse von Group-IB bestätigen, dass sich Phishing zu einem industrialisierten Unternehmen entwickelt hat. Automatisierte Frameworks, verschlüsselte Kommunikation und Community-Support haben aus kleinen Betrügereien skalierbare kriminelle Operationen gemacht.

Die Transformation von Phishing von handwerklicher Täuschung zu einem optimierten Service markiert eine neue Grenze in der Cyberkriminalität – eine Grenze, deren Verteidigung das gleiche Maß an Automatisierung, Zusammenarbeit und Wachsamkeit erfordert, das nun auch die Angreifer einsetzen.

Über die Autoren: Federico Marazzi ist Cert Analyst bei Group-IB und Ivan Salipur ist Cert Team Lead bei Group-IB.

Passwortlose Authentifizierung

Passkeys statt Passwörter und Phishing

(ID:50641940)