Die als GitBait bezeichnete Operation hat über drei Jahre hinweg Kunden von mindestens zwölf mexikanischen Finanzinstituten ins Visier genommen. Die Täter setzen auf eine raffinierte serverlose Architektur – und machen sich damit klassische Sicherheitsmechanismen zunichte.
Wie die Angreifer GitHub für ihre Zwecke missbrauchen
Das Besondere an GitBait: Die Betreiber benötigen keine eigenen Kommando-Server. Stattdessen verteilen sie ihre Phishing-Seiten über mehr als 100 unabhängige GitHub-Repositories. Ein modulares Baukastensystem erlaubt es ihnen, für jedes Institut maßgeschneiderte Landingpages zu erstellen – und das sowohl für Desktop- als auch für Mobilnutzer.
Anzeige: Die GitBait-Operation zeigt: Phishing über GitHub Pages und Google Sheets umgeht klassische Sicherheitsmechanismen – mit 1,9 Milliarden Euro Schaden. Dieser Report liefert Ihnen die entscheidende Checkliste, um Cloud-Phishing in Echtzeit zu erkennen und serverlose Angriffe abzuwehren. Jetzt kostenlosen Schutz-Report anfordern
Die gestohlenen Daten – vom Passwort bis zur Kreditkartennummer – verschwinden nicht auf dubiosen Servern, sondern landen direkt in Google Sheets. Möglich macht das die SheetBest-API: Ein JavaScript-Code auf der Phishing-Seite fängt die Eingaben ab und leitet sie an die Tabelle weiter. Für Sicherheitsteams wird die Spurensuche so zur Geduldsprobe.
Die technische Umsetzung ist ausgeklügelt: Der schädliche Code wird über verschleierte, zufällig generierte Pfade nachgeladen. Dadurch bleibt der HTML-Code der Seite sauber – statische Analysen laufen ins Leere.
Automatisierung auf Profi-Niveau
Die Täter arbeiten mit Methoden, die man sonst aus der seriösen Softwareentwicklung kennt. Jekyll-basierte Builds und GitHub Actions halten die Infrastruktur am Laufen. In einem Repository fanden sich 66 einzelne Änderungen – und mehrere Accounts, die parallel daran arbeiteten.
Die Verbreitung der Phishing-Links erfolgt über SMS, WhatsApp und Telegram. Besonders perfide: Die Seiten enthalten sogenannte Open-Graph-Metadaten, die in Messengern täuschend echte Vorschauen mit Banklogos und Markennamen erzeugen. Gleichzeitig sind die Seiten so konfiguriert, dass Suchmaschinen sie nicht indexieren – die Opfer müssen direkt angesteuert werden.
Phishing wird zum Service-Geschäft
GitBait ist kein Einzelfall. Sicherheitsforscher beobachten einen wachsenden Trend: Immer mehr Kriminelle setzen auf vertrauenswürdige Cloud-Plattformen. Kaspersky warnte kürzlich vor einer ähnlichen Kampagne, die Tencent EdgeOne Pages für Phishing-Angriffe auf Unternehmenszugänge nutzte – allein im letzten Monat wurden über 8.000 Phishing-Mails mit dieser Methode registriert.
Parallel dazu boomen Phishing-as-a-Service-Angebote (PhaaS). Die Plattform BlueKit bietet etwa gestaffelte Abo-Modelle für großangelegten Datendiebstahl. Und das FBI warnte zuletzt vor Kali365, einem Dienst, der Microsoft-365-Nutzer attackiert – durch Diebstahl von OAuth-Tokens wird selbst die Zwei-Faktor-Authentifizierung ausgehebelt.
Operation Ghost Hook: Behörden schlagen zurück
Anzeige: Während Ihre Sicherheitsteams noch Signatur-basierte Filter aktualisieren, nutzen Angreifer längst KI-generierte Phishing-Seiten auf vertrauenswürdigen Cloud-Domains. Der Report zeigt, wie Sie mit einer Schritt-für-Schritt-Anleitung serverlose Angriffe stoppen – bevor Ihre Konkurrenz die nächste Ghost-Hook-Welle erlebt. Abwehr-Leitfaden jetzt sichern
Die Dimension dieser Angriffe hat in dieser Woche zu massiven Gegenmaßnahmen geführt. Google reichte Zivilklage gegen ein in China vermutetes Netzwerk namens Outsider Enterprise ein. Gemeinsam mit dem FBI und Lumen Technologies gelang im Rahmen der Operation Ghost Hook die Zerschlagung der Infrastruktur – das Netzwerk war seit Juli 2023 aktiv.
Die Bilanz ist erschreckend: Rund 3,87 Millionen Kreditkartendatensätze wurden gestohlen, der Schaden wird auf etwa 1,9 Milliarden Euro geschätzt. Das Netzwerk stellte seinen Kunden fast 300 Phishing-Vorlagen zur Verfügung und setzte offenbar auch auf KI-Modelle wie Gemini, um Sicherheitsfilter zu umgehen.
Die Behörden konnten zwar zentrale Verwaltungsserver und tausende betrügerische Domains beschlagnahmen. Doch Sicherheitsexperten warnen: Solange vertrauenswürdige Cloud-Domains und KI-generierter Code im Spiel sind, stoßen klassische Blocklisten und Signatur-basierte Erkennungssysteme an ihre Grenzen.
