Der mutmaßliche Entwickler wurde in Indonesien festgenommen.**
US-Bundesbehörden und internationale Partner haben das „W3LL“-Ökosystem zerschlagen – eine der produktivsten „Phishing-as-a-Service“-Plattformen (PhaaS) der Welt. Die mehrjährige Untersuchung gipfelte in der Beschlagnahmung kritischer Infrastruktur und der Festnahme des mutmaßlichen Entwicklers in Indonesien. Ein Meilenstein für die grenzüberschreitende Strafverfolgung im Cyberspace.
Das FBI-Büro in Atlanta und die indonesische Nationalpolizei (INP) arbeiteten bei der Operation zusammen. Ziel war ein Netzwerk, das für versuchten Betrug in Höhe von schätzungsweise 20 Millionen Euro verantwortlich sein soll. Bei einer Pressekonferenz in Jakarta betonten Ermittler die wachsende Notwendigkeit globaler Kooperation gegen industrialisierte Cyberkriminalität.
Der Fall W3LL zeigt eindrucksvoll, mit welcher kriminellen Energie Phishing-Kampagnen heute gegen Unternehmen gesteuert werden. Dieser kostenlose Leitfaden hilft Firmen aus allen Branchen, Angriffe frühzeitig zu erkennen und abzuwehren. Anti-Phishing-Paket für Unternehmen jetzt gratis herunterladen
Vollsortiment für Cyberkriminelle
Die W3LL-Plattform agierte als „Rundum-Sorglos-Paket für Cyberkriminelle“, erklärte FBI-Spezialagent Marlo Graham. Im Zentrum stand der „W3LL Store“ – ein exklusiver Online-Marktplatz, der zwischen 2019 und 2023 aktiv war. Dort wurden mehr als 25.000 kompromittierte Konten gehandelt. Selbst nach der Schließung des Web-Shops lief das Geschäft über verschlüsselte Messenger weiter. Der Entwickler vermarktete eine überarbeitete Version seines Werkzeugkastens an einen geschlossenen Kreis von rund 500 aktiven Angreifern.
Allein zwischen 2023 und 2024 wurde das Phishing-Kit gegen mehr als 17.000 Opfer weltweit eingesetzt. In einem einzigen Neun-Monats-Zeitraum waren mindestens 56.000 geschäftliche Microsoft-365-Konten in den USA, Europa und Australien Ziel der Attacken. Das Komplettpaket kostete rund 500 Euro und ermöglichte selbst technisch unerfahrenen Kriminellen professionelle „Business Email Compromise“-Angriffe (BEC).
Das Finanzmodell war ausgeklügelt: Der Entwickler bot zehn Prozent Provision für Vermittlungen und betrieb ein Drittanbieter-Programm mit einer 70/30-Gewinnaufteilung. Ermittler fanden heraus, dass er nicht nur Werkzeuge bereitstellte, sondern auch gestohlene Zugänge aktiv sammelte und weiterverkaufte – ein sich selbst erhaltender Kreislauf aus Diebstahl und Monetarisierung.
Wie die Angreifer selbst Zwei-Faktor-Authentifizierung umgingen
Die technische Besonderheit von W3LL war die Fähigkeit, gängige Sicherheitsmaßnahmen zu umgehen. Das Herzstück war das „W3LL Panel“ (auch OV6-Panel genannt), das auf Adversary-in-the-Middle-Techniken (AiTM) setzte. Anders als klassische Phishing-Seiten, die nur Passwörter abgreifen, leiteten diese Systeme legitime Login-Portale in Echtzeit um.
Gibt ein Opfer seine Daten auf einer W3LL-gefälschten Seite ein, erfasst das System nicht nur Benutzername und Passwort, sondern auch MFA-Codes und Sitzungscookies. Die Angreifer konnten so aktive Authentifizierungssitzungen kapern, den MFA-Schutz umgehen und dauerhaften Zugriff auf Microsoft-365-Umgebungen erlangen.
Einmal im System, nutzten die Kriminellen ein Arsenal von 16 weiteren maßgeschleierten Tools. Diese deckten die gesamte BEC-Angriffskette ab: Postfach-Überwachung, automatische E-Mail-Weiterleitungen und die Identifizierung lukrativer Finanztransaktionen. So konnten Angreifer Führungskräfte oder Lieferanten imitieren, Zahlungen umleiten und gefälschte Rechnungen mit hoher Präzision ausstellen.
Historische US-indonesische Zusammenarbeit
Die Zerschlagung der W3LL-Infrastruktur und die Festnahme des mutmaßlichen Entwicklers (von den Behörden als „G.L.“ identifiziert) ist die erste koordinierte Aktion zwischen den USA und Indonesien, die gezielt einen Phishing-Kit-Entwickler ins Visier nahm. Das FBI Atlanta arbeitete mit der indonesischen Kriminalpolizei Bareskrim Polri und lokalen Ermittlern in Ost-Nusa Tenggara zusammen.
Die Operation führte zur Beschlagnahmung der Domain w3ll.store sowie von Hardware mit Beweisen für tausende globale Ziele. Obwohl die Behörden noch keine detaillierten Anklagepunkte gegen G.L. veröffentlichten, gilt die Festnahme als bedeutender Schritt: Statt einzelner Betrüger wurde eine zentrale Ressource ausgeschaltet, die tausende separate kriminelle Kampagnen ermöglichte.
Der Fall W3LL im Kontext
Die Zerschlagung reiht sich ein in eine Serie prominenter Aktionen im Frühjahr 2026. Anfang März hatten Europol und Microsoft bereits die Plattform Tycoon 2FA zerschlagen, einen weiteren großen PhaaS-Dienst, der auf Gmail und Microsoft-365-Konten abzielte. Diese Operationen spiegeln eine strategische Neuausrichtung der Strafverfolgung wider: hin zur „industriellen Störung“ ganzer Ökosysteme.
Sicherheitsforscher von Group-IB und Sekoia warnen jedoch: Der Sieg ist ein wichtiger Erfolg, aber die Bedrohung bleibt bestehen. Bereits jetzt wurden Elemente des W3LL-Quellcodes in anderen aufkommenden Werkzeugen wie „Sneaky 2FA“ identifiziert. Solange die Nachfrage nach gestohlenen Zugangsdaten hoch ist, werden neue Plattformen die Lücke füllen.
Das FBI Internet Crime Complaint Center (IC3) meldete für 2025 Verluste durch Cyberbetrug von knapp 17,7 Milliarden Euro. Plattformen wie W3LL treiben diese Zahlen an, weil sie hochentwickelte Hacking-Techniken demokratisieren und die technischen Hürden für Angriffe auf Unternehmenssysteme drastisch senken.
Da herkömmliche Passwörter und einfache Zwei-Faktor-Verfahren für Profi-Hacker längst kein Hindernis mehr darstellen, wird der Wechsel auf moderne Technologien immer dringlicher. Erfahren Sie in diesem Experten-Report, wie Sie Passkeys für Microsoft, WhatsApp und Co. einrichten und Ihre Konten endlich unknackbar machen. Kostenlosen PDF-Report zu Passkeys hier anfordern
Was Unternehmen jetzt tun müssen
Die Zerschlagung von W3LL entfernt zwar einen großen Akteur aus der Darknet-Landschaft. Doch Sicherheitsexperten warnen: Die AiTM-Methode bleibt eine der größten Bedrohungen. Der Vorfall hat die Forderung nach phishing-resistenten Authentifizierungsmethoden wie FIDO2-konformen Hardware-Sicherheitsschlüsseln erneuert, die gegen die von W3LL genutzten Sitzungs-Hijacking-Techniken immun sind.
Die Ermittlungen gegen das breitere Netzwerk von W3LL-Partnern laufen weiter. Die beschlagnahmten Daten werden genutzt, um einzelne Käufer des Kits zu identifizieren und strafrechtlich zu verfolgen. Für andere PhaaS-Entwickler ist die Botschaft klar: Internationale Grenzen werden zunehmend zu einem schwächeren Schutzschild für Cyberkriminelle.
