Das FBI hat gemeinsam mit Google und weiteren Partnern einen der bislang größten bekannten Phishing-as-a-Service-Dienste zerschlagen. Die unter dem Namen Outsider Enterprise laufende Plattform soll Kriminellen dabei geholfen haben, massenhaft gefälschte Webseiten und SMS-Kampagnen zu erstellen. Besonders brisant: Der Dienst setzte offenbar auch auf KI-Unterstützung, um Phishing-Seiten schneller, überzeugender und einfacher nutzbar zu machen.
Aktuellen Angaben zufolge wurden dem Netzwerk mehr als 9.000 gefälschte Webseiten und über eine Million betrügerische URLs zugeschrieben. In einzelnen Berichten ist sogar von mehr als 1,5 Millionen erkannten URLs die Rede. Damit wird deutlich, wie stark sich Phishing professionalisiert hat.
Was war Outsider Enterprise?
Outsider Enterprise war nicht nur ein einzelner Betrüger mit ein paar Fake-Webseiten, sondern offenbar ein kompletter Baukasten für Cyberkriminelle. Solche Plattformen werden als „Phishing-as-a-Service” bezeichnet. Das Prinzip ist einfach: Kriminelle müssen nicht mehr selbst programmieren, keine eigene Infrastruktur aufbauen oder professionelle Fake-Seiten gestalten. Sie kaufen oder mieten einfach ein fertiges System.
Mithilfe solcher Dienste lassen sich beispielsweise gefälschte Login-Seiten, Zahlungsseiten oder Benachrichtigungen von Paketdiensten erstellen. Die Opfer erhalten dann eine SMS oder Nachricht mit einem Link. Wer darauf klickt, gelangt auf eine täuschend echt aussehende Webseite und gibt im schlimmsten Fall dort Kreditkartendaten, Zugangsdaten oder andere persönliche Informationen ein.
Gerüchten zufolge soll Outsider Enterprise genau dieses Modell im großen Stil angeboten haben.
Wie die Angriffe funktioniert haben
Die Angriffe liefen vor allem über sogenannte Smishing-Kampagnen. Dabei handelt es sich um Phishing per SMS. Die Nutzer erhielten Kurznachrichten, die angeblich von bekannten Marken, Mobilfunkanbietern, Paketdiensten, Banken oder anderen vertrauenswürdigen Stellen stammten.
Typischerweise wurden die Opfer mit Hinweisen auf angebliche Kontoprobleme, Paketgebühren, Belohnungen, offene Zahlungen oder Sicherheitsprüfungen geködert. Der Link in der Nachricht führte auf eine gefälschte Website. Dort wurden die Opfer aufgefordert, Daten einzugeben.
Welche Rolle spielte KI?
Der Fall ist vor allem deshalb interessant, weil Outsider Enterprise neben klassischen Phishing-Kits angeblich auch KI-gestützte Funktionen beziehungsweise KI-Anleitungen genutzt haben soll. KI kann Phishing deutlich gefährlicher machen, da sie schlechte, auffällige Texte verbessert und eine Vielzahl von Varianten erstellen kann.
Früher waren Phishing-Nachrichten oft anhand von schlechtem Deutsch, seltsamen Formulierungen oder offensichtlichen Fehlern zu erkennen. Diese Zeiten sind jedoch vorbei. KI kann Betrugsnachrichten sprachlich glätten, lokalisieren und somit glaubwürdiger machen. Auch Fake-Webseiten lassen sich so schneller an verschiedene Marken, Länder und Zielgruppen anpassen.
Das bedeutet jedoch nicht, dass jede KI-generierte Nachricht automatisch perfekt ist. Die Masse und Qualität solcher Angriffe steigen jedoch deutlich.
Das Ausmaß ist enorm
Die Zahlen rund um Outsider Enterprise sind gewaltig. Dem Netzwerk werden Tausende gefälschte Webseiten und mehr als eine Million betrügerische URLs zugeschrieben. Über die Infrastruktur sollen außerdem in kurzer Zeit Millionen SMS mit Links zu solchen Phishing-Seiten verschickt worden sein.
Bisherigen Angaben zufolge sollen hunderttausende Menschen von den Betrugsmaschen betroffen gewesen sein. Außerdem ist von Millionenverlusten die Rede. In einigen Berichten ist sogar von mehreren Millionen gestohlenen Kreditkartendaten und einem Schaden in Milliardenhöhe die Rede.
Was das FBI unternommen hat
Die Aktion fand im Rahmen der FBI-Operation „Riptide” statt. Dabei geht es nicht nur darum, einzelne Täter zu verfolgen, sondern auch darum, die Infrastruktur hinter Cybercrime-Diensten gezielt zu stören.
Im Fall von Outsider Enterprise wurden unter anderem Server, Domains und weitere technische Komponenten übernommen oder abgeschaltet. Auch ein mit dem Dienst in Verbindung stehender Telegram-Bot soll unter Kontrolle gebracht worden sein. Darüber hinaus wurden Krypto-Vermögenswerte beschlagnahmt.
Viele der zuvor genutzten Phishing-Domains sollen nun auf eine Hinweisseite des FBI weiterleiten. Für die Opfer ist das zwar keine vollständige Lösung, für die Betreiber solcher Dienste ist es jedoch ein empfindlicher Schlag: Ihre Infrastruktur ist beschädigt, ihre Kundendaten könnten den Ermittlern vorliegen und ihre laufenden Kampagnen werden unterbrochen.
Google geht zusätzlich juristisch vor
Neben der technischen Abschaltung geht Google auch zivilrechtlich gegen die Hintermänner vor. Das Unternehmen wirft den Betreibern vor, Marken und Dienste missbraucht zu haben, um betrügerische Webseiten glaubwürdiger erscheinen zu lassen.
Google arbeitet außerdem mit Mobilfunkanbietern zusammen, um betrügerische SMS frühzeitig zu blockieren. Das ist wichtig, da viele dieser Angriffe nicht über klassische E-Mail-Postfächer laufen, sondern direkt als SMS auf dem Smartphone des Nutzers landen. Dort klicken Nutzer schneller auf Links, da die Nachricht persönlicher und dringlicher wirkt.
So schützt du dich vor KI-Phishing
Der wichtigste Schutz bleibt: Links in SMS und E-Mails nicht blind anklicken! Wenn eine Nachricht angeblich von deiner Bank, einem Paketdienst oder einem anderen großen Anbieter stammt, solltest du die Webseite selbst im Browser aufrufen oder die offizielle App verwenden.
Achte außerdem auf diese Punkte:
- Öffne keine Zahlungsseiten über SMS-Links.
- Gib Kreditkartendaten nur auf Webseiten ein, die du selbst aufgerufen hast.
- Prüfe die Domain genau, nicht nur das Logo.
- Lass dich nicht durch Zeitdruck stressen.
- Nutze Zwei-Faktor-Authentifizierung, wo es möglich ist.
- Speichere keine Kreditkartendaten auf unbekannten Webseiten.
- Sperre deine Karte sofort, wenn du Daten auf einer Fake-Seite eingegeben hast.
