Das gemeinsame Vorgehen des FBI und der indonesischen Polizei markiert einen Meilenstein im Kampf gegen industrialisierte Cyberkriminalität.
Operation gegen eine globale Betrugsmaschine
Die Aktion zielte auf die Infrastruktur des W3LL-Phishing-Kits, das Kriminellen weltweit Zugang zu hochgefährlichen Angriffswerkzeugen bot. Mitte April 2026 erreichte die Untersuchung ihren Höhepunkt: Die Behörden nahmen den mutmaßlichen Entwickler der Software in Indonesien fest und beschlagnahmten die zentralen Server. Diese Plattform hatte es ermöglicht, Sicherheitsvorkehrungen wie die Zwei-Faktor-Authentifizierung systematisch zu umgehen.
Rekord-Schäden durch Phishing zeigen, wie wichtig professionelle Prävention für Unternehmen heute ist. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie in 4 Schritten, wie Sie Ihr Unternehmen wirksam vor modernen Hacker-Angriffen schützen. Kostenlosen Anti-Phishing-Leitfaden jetzt herunterladen
Das Werkzeug imitierte die Login-Seiten großer Cloud-Dienste und Banken täuschend echt. Sein besonderes Merkmal: Es fing nicht nur Passwörter ab, sondern auch die lebenden Sitzungsdaten. Damit konnten Angreifer sich sogar in bereits geschützte Konten einschleichen. Zwischen 2023 und 2024 nutzten Kriminelle das Kit für Angriffe auf über 17.000 Opfer weltweit.
Vom digitalen Laden zum globalen Netzwerk
Ursprünglich wurde das Kit für rund 500 US-Dollar auf einem Untergrundmarktplatz namens W3LLSTORE verkauft. Nach dessen Schließung Ende 2023 verlagerte sich der Handel auf verschlüsselte Messenger-Dienste wie Telegram. Dort wurde das Tool unter neuem Namen vermarktet und erreichte ein globales Publikum.
Die Dimensionen sind gewaltig: Die Strafverfolgungsbehörden schätzen den mit der Plattform verbundenen Betrugsversuch auf über 20 Millionen US-Dollar. Doch der Schaden ging weit über gestohlene Zugangsdaten hinaus. Das Netzwerk handelte auch mit unerlaubtem Zugang zu Firmensystemen – eine Eintrittskarte für Ransomware-Gruppen.
Paralleler Schlag gegen DDoS-Dienste
Gleichzeitig mit der Zerschlagung von W3LL lief eine weitere Großaktion: Operation PowerOFF. Eine Koalition aus 21 Ländern, koordiniert von Europol, ging eine Woche lang gegen bezahlbare DDoS-Angriffsdienste vor. Dabei beschlagnahmten die Behörden 53 Webdomains und nahmen vier mutmaßliche Betreiber großer Botnetze fest.
Da herkömmliche Passwörter immer häufiger von Kriminellen ausgespäht werden, setzen Experten verstärkt auf passwortlose Alternativen. Dieser kostenlose Report zeigt, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, Microsoft und WhatsApp sicher vor Hackern schützen. Gratis-Report: Sicher und passwortlos anmelden
Die Strategie hat sich gewandelt. Nicht nur die Anbieter stehen im Fokus, sondern auch ihre Kunden. Die Ermittlers analysierten Datenbanken mit über 3 Millionen Nutzerkonten und verschickten etwa 75.000 Warnschreiben. Viele Nutzer seien junge Hobbyisten, so Europol. Die Botschaft ist klar: Auch auf anonymisierten Plattformen ist man nicht unsichtbar.
Blaupause für die Zukunft der Cyberabwehr
Die erfolgreiche Zusammenarbeit zwischen den USA, Indonesien und europäischen Partnern zeigt einen Reifeprozess internationaler Cyber-Ermittlungen. Öffentlich-private Partnerschaften mit Tech-Konzernen wie Microsoft liefern dabei die entscheidenden technischen Daten, um kriminelle Infrastrukturen zu kartieren.
Erst im März 2026 wurde mit einer ähnlichen Taktik die Plattform Tycoon 2FA zerschlagen, die für rund 62 Prozent aller blockierten Phishing-Versuche verantwortlich war. Die konsequente Abfolge solcher Schläge gegen Phishing-as-a-Service-Anbieter zeigt eine nachhaltige Strategie.
Doch die Herausforderung bleibt. Sicherheitsexperten beobachten, dass der Quellcode von W3LL bereits in neueren Tools wie dem „Sneaky 2FA“-Kit weiterlebt. Der Markt ist lukrativ, und Dienste verlagern sich in private Foren, was die Ermittlungen erschwert.
Die Behörden setzen nun auf langfristige Resilienz. Das FBI und seine Partner veröffentlichen umfangreiche Indikatorenlisten mit Zehntausenden Domains, damit Unternehmen ihre eigenen Systeme auf vergangene Angriffe überprüfen können. Die Festnahme von Entwicklern wie G.L. soll ein Signal senden: Die vermeintliche Anonymität im Netz bröckelt.
