Noch ein kurzer Nachtrag von letzter Woche. Ermittler von Europol haben im Verbund mit weiteren Strafverfolgern (LKA Sachsen etc.) eine Plattform, die für Phishing genutzt wurde, beschlagnahmt und die Server abgeschaltet. Die Plattform LabHost bot Phishing-as-a-Service für andere Cyberkriminelle an.
Anzeige
Strafverfolger aus 19 Ländern haben sich zusammengetan, um eine der größten Phishing-as-a-Service-Plattformen der Welt zu Fall zu bringen.LabHost wurde nach einer einjährigen Untersuchung, unter Führung der Londoner Metropolitan Police mit Unterstützung des Europäischen Zentrums für Cyberkriminalität (EC3) von Europol und der dort angesiedelten Joint Cybercrime Action Taskforce (J-CAT) geleitet. Die LabHost-Plattform, die zuvor im offenen Internet verfügbar war, wurde von Europol, gemäß folgendem Tweet dann abgeschaltet.
Laut dieser Mitteilung wurden zwischen Sonntag, dem 14. April, und Mittwoch, dem 17. April, weltweit insgesamt 70 Adressen durch lokale Polizeikräfte durchsucht. Das führte zur Verhaftung von 37 Verdächtigen, darunter befinden sich auch vier Personen aus dem Vereinigten Königreich, die mit dem Betrieb der Website in Verbindung stehen. Auch der ursprüngliche Entwickler des Dienstes gehört zu den Verhafteten.
Europol war an diesen Fall seit September 2023 aktiv. In der Europol-Zentrale wurde ein operativer Sprint mit allen beteiligten Ländern organisiert, heißt es, damit die nationalen Ermittler Erkenntnisse über die Nutzer und Opfer in ihren eigenen Ländern ermitteln und entwickeln konnten. Während der Aktionsphase unterstützte ein Europol-Spezialist die niederländische Polizei bei ihren Durchsetzungsmaßnahmen.
Anzeige
Kommerzialisierung von Phishing-Angriffen
Cyberkriminalität als Dienstleistung ist zu einem schnell wachsenden Geschäftsmodell in der kriminellen Landschaft geworden, schreibt Europol. Dabei vermieten oder verkaufen Bedrohungsakteure Tools, Fachwissen oder Dienstleistungen an andere Cyberkriminelle, um ihre Angriffe durchzuführen. Dieses Modell hat sich bei Ransomware-Gruppen etabliert, wird aber auch bei anderen Aspekten der Cyberkriminalität, z. B. bei Phishing-Angriffen, eingesetzt.
LabHost war zu einem wichtigen Werkzeug für Cyberkriminelle auf der ganzen Welt geworden. Gegen ein monatliches Abonnement bot die Plattform Phishing-Kits, Infrastruktur für das Hosting von Seiten, interaktive Funktionen für die direkte Ansprache von Opfern und einen Überblick über die Kampagnen.
Bei der Untersuchung durch die Strafverfolger wurden mindestens 40 000 Phishing-Domänen aufgedeckt, die mit LabHost verbunden waren. Die Plattform hatte weltweit etwa 10 000 Nutzer. Für eine monatliche Gebühr von durchschnittlich 249 Dollar bot LabHost eine Reihe von illegalen Diensten an, die individuell angepasst und mit wenigen Klicks eingerichtet werden konnten.
Je nach Abonnement wurde den Kriminellen ein immer größeres Spektrum an Zielen angeboten, darunter Finanzinstitute, Postzustelldienste und Telekommunikationsanbieter. Labhost bot seinen Nutzern ein Menü von über 170 gefälschten Websites mit überzeugenden Phishing-Seiten zur Auswahl.
Was LabHost besonders destruktiv machte, war sein integriertes Kampagnenmanagement-Tool namens LabRat. Mit dieser Funktion konnten die Cyberkriminellen, die die Angriffe ausführten, diese in Echtzeit überwachen und steuern. LabRat wurde entwickelt, um Zwei-Faktor-Authentifizierungscodes und Anmeldedaten zu erfassen, so dass die Kriminellen die erweiterten Sicherheitsmaßnahmen umgehen konnten.
Leicht zugänglich, aber kriminell
Plattformen wie LabHost machen Cyberkriminalität für unerfahrene Hacker leichter zugänglich, wodurch sich der Pool der Bedrohungsakteure erheblich vergrößert. Doch so benutzerfreundlich sich der Dienst auch präsentieren mag, seine böswillige Nutzung stellt eine illegale Aktivität dar – und die Strafen können hart sein, merken die Ermittler an.
Eine große Menge an Daten, die im Laufe der Ermittlungen gesammelt wurden, befindet sich nun im Besitz der Strafverfolgungsbehörden. Diese Daten werden zur Unterstützung der laufenden internationalen operativen Maßnahmen verwendet, die sich auf die böswilligen Nutzer dieser Phishing-Plattform konzentrieren.
Anzeige
Einserseits gut, das das abgeschaltet wurde.
Aber es ist nur eine Frage der Zeit, bis die Plattfirm wieder aktiv ist.
Ich sehe da auch keinen Fortschritt, wenn man den Kriminellen immer nur hinterherlaufen kann, statt mal zwei, drei Schritte voraus zu sein!
Wie wäre es, wenn man wenigstens innerhalb der EU mal ein vernünftiges neues Mail-System aufbaut. Kann man ja parallel nutzen, bis der Rest der Welt nachzieht … warum sollten sie das tun? Weil z.b. nur noch Kommunikation über das neue, sicherere EU-System rechtsverbindlich wäre … wer von außerhalb der EU in Europa weiterhin Kunden haben will, würde sich dann schon anpassen (müssen) … nur muss eben mal irgendwer damit Anfangen. Und warum sollten das immer wieder die US-Amerikaner sein? Es ist doch kein Naturgesetzt, das alles Neue von dort kommen muss … Und ein von den Chinesen erdachtes System könnte doch wohl auch nicht in unserem Interesse sein! Wer zuerst kommt, malt zuerst … hat man in Europa scheinbar völlig vergessen?
Oder man macht es so wie ein großer Kunde (mehrere 10.000 Mitarbeiter) von uns:
Der hat für bestimmte Abteilungen ein Whitelisting eingeführt.
Man muß seine Email-Adresse dort registrieren lassen.
Ist die Mailadresse nicht registriert und man sendet eine Mail an die entsprechenden Adressen der Abteilungen, so wird die Mail abgewiesen.
Man bekommt einen Hinweis, das die eigene Mailadresse nicht für den Mailverkehr mit der Zieladresse registriert ist und daher die Mail abgewiesen wird.
"Wie wäre es, wenn man wenigstens innerhalb der EU mal ein vernünftiges neues Mail-System aufbaut."
Hat man (mit "DE-Mail" und "Email Made in Germany") bereits zweimal ernsthaft versucht. Akzeptanz ist bekannt.
Vielleicht weil "Made in Germany" mittlerweile nicht mehr das Gütesiegel ist, was es einmal war – besonders und gerade im Bereich IT (hat aber meiner Meinung nach mit der Schlafmützigkeit in Ausbildung und Hardwareressourcen der letzten 30 Jahre zu tun)…
Aber auch, weil die ursprüngliche Ausgestaltung einerseits eine Werbeveranstaltung der beteiligten Konzerne (vorwiegend United Internet und Telekom) war und andererseits die Verwaltungsvorgänge drum herum (insbesondere die Identitätsfeststellung des Absenders) ziemlich verkopft und bürokratisch. So wie man sich heute "Made in Germany" vorstellt. 😒