Eine neue Untersuchung von Bluevoyant hat eine Phishing-Kampagne großen Ausmaßes aufgedeckt, bei der das populäre Webentwicklungsunternehmen Weebly.com missbraucht wurde, um kleine und mittelgroße Finanzinstitute in den Vereinigten Staaten zu imitieren. Die hinter der Kampagne stehenden Angreifer haben systematisch Hunderte gefälschter Websites erstellt und dabei die Benutzerfreundlichkeit sowie die als vertrauenswürdig wahrgenommene Infrastruktur von Weebly gezielt ausgenutzt, um Nutzer zu täuschen und sensible Zugangsdaten abzugreifen. Die Kampagne markiert eine bedenkliche Weiterentwicklung gängiger Phishing-Taktiken und zeigt auf, wie legitime digitale Plattformen zunehmend für kriminelle Zwecke instrumentalisiert werden.
Zentrale Erkenntnisse: Wie die Kampagne funktioniert und warum sie relevant ist
Missbrauch legitimer Infrastruktur: Weebly, ein Unternehmen im Besitz von Block, Inc., wird häufig von kleinen Unternehmen und Selbstständigen genutzt, um über Drag-and-Drop-Funktionen Websites zu erstellen. Genau diese Funktionen wurden von Cyberkriminellen missbraucht, um täuschend echte gefälschte Bank-Websites zu generieren. Die Angreifer nutzen die Subdomain-Struktur von Weebly (z. B. fhbonline.weebly.com), um authentisch wirkende Bankdomains zu imitieren. Dadurch gelingt es ihnen, herkömmliche Sicherheitsfilter zu umgehen und das Vertrauen der Nutzer auszunutzen.
Massen-Phishing durch Templates und Automatisierung: Das Ausmaß der Operation wird durch die integrierten Weebly-Vorlagen ermöglicht, die von Angreifern als generische Phishing-Kits umfunktioniert werden. Durch einfaches Austauschen von Markenmerkmalen wie Logos und Hintergrundbildern lassen sich innerhalb von Minuten neue Phishing-Seiten generieren. Eine Simulation von BlueVoyant zeigte, dass eine solche Seite in weniger als einer Stunde einsatzbereit sein kann.
Gezielte Angriffe auf US-Finanzinstitute: Im Rahmen dieser Kampagne wurden über 200 kleinere und mittelgroße Banken sowie Kreditgenossenschaften nachgeahmt. BlueVoyant beobachtete regionale Angriffsmuster, darunter Cluster gefälschter Seiten, die sich auf Banken in bestimmten US-Bundesstaaten wie Maine, New York und Vermont konzentrierten. Dies deutet darauf hin, dass die Angreifer mit strukturierten Ziellisten arbeiten und ihre Taktiken gezielt an regionale Schwachstellen anpassen.
Proof-of-Concept-Exploits und verzögerte Takedowns: In vielen Fällen wurde jede Bank zunächst nur mit einer einzigen Phishing-Seite attackiert. Dies erlaubte es den Angreifern, die Reaktionsgeschwindigkeit beim Entfernen der Seiten zu analysieren. Institute, die nicht schnell genug reagierten, wurden mehrfach angegriffen. So wurde beispielsweise eine kleine Bank mit einem Vermögen von 200 Millionen US-Dollar wiederholt Ziel von Angriffen, nachdem ihre erste gefälschte Website monatelang online blieb – im Gegensatz zu einer größeren Bank, die prompt reagierte.
Komplexe Infrastruktur und Umgehungstechniken: Neben Weebly ist es möglich, dass ähnliche Taktiken auch auf anderen Plattformen mit Subdomain-Hosting angewandt werden. Die dezentrale Struktur dieser Plattformen erschwert eine koordinierte Abschaltung, während Angreifer von schneller Bereitstellung und geringem Aufwand profitieren.
Fazit: Warum auch Banken in Deutschland sich auf plattformbasiertes Phishing vorbereiten müssen
Die Weebly-Kampagne zeigt exemplarisch, wie Bedrohungsakteure vermehrt legitime Plattformen nutzen, um kostengünstige und effektive Phishing-Kampagnen in großem Maßstab umzusetzen. Für kleine und mittelgroße Finanzinstitute unterstreichen die Erkenntnisse die Dringlichkeit früher Erkennung und schneller Reaktionsfähigkeit. DNS-Monitoring spielt eine zentrale Rolle bei der Identifikation von Phishing-Seiten auf Subdomains, da diese oft nur über DNS-Einträge auffindbar sind. Eine zeitnahe Abschaltung bösartiger Domains ist entscheidend – Institute, die zögern, werden häufiger zum Ziel wiederholter Angriffe.
Auch wenn sich die aktuelle Kampagne auf US-Banken konzentriert, lassen sich die eingesetzten Taktiken problemlos übertragen. Banken und Finanzinstitute in Deutschland und ganz Europa sind ähnlichen Risiken ausgesetzt und sollten entsprechend vorbereitet sein. Die Stärkung der digitalen Risikoanalyse, die Überwachung von DNS-Aktivitäten und die Zusammenarbeit mit externen Threat-Intelligence-Diensten zur schnellen Abschaltung verdächtiger Domains können die Angriffsfläche gegenüber dieser Art von Bedrohung deutlich reduzieren.
#Bluevoyant









