Internationale Ermittler haben diese Woche einen massiven Schlag gegen die organisierte Cyberkriminalität geführt. Im Fokus: die hochprofessionelle „Phishing-as-a-Service“-Industrie.
Die Operationen erstreckten sich von Australien über Indonesien bis nach Europa und Nordamerika. Besonders brisant: Die Täter nutzen längst keine einfachen Fake-Mails mehr. Sie bauen komplexe Infrastrukturen auf, die selbst moderne Sicherheitsstandards wie die Zwei-Faktor-Authentifizierung (2FA) umgehen können.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken schützen kann. Kostenloses Anti-Phishing-Paket jetzt herunterladen
„Strike Force Downstream“: Goldbarren statt Überweisungen
Am 14. Mai 2026 gelang der Polizei im australischen Bundesstaat New South Wales ein spektakulärer Zugriff. Beamte des Cybercrime Squad überraschten eine 20-jährige Frau mitten in einem Goldkauf – mitten in einem Geschäft in Sydney. Ihr Vorhaben: Goldbarren im Wert von umgerechnet rund 93.000 Euro mit gestohlenem Geld erwerben.
Die Ermittler nahmen zudem zwei Männer im Alter von 29 und 36 Jahren fest. Die Bande soll Unternehmen durch manipulierte E-Mails umgeleitete Zahlungen in Höhe von mehreren Hunderttausend Euro abgegriffen haben. Das Geld wurde rasch in Gold umgewandelt – eine klassische Methode, um die Spur zu verwischen.
Die Ermittlungen laufen unter dem Namen „Strike Force Downstream“. Auslöser war ein Hinweis der australischen Nationalbank. Analysten hatten innerhalb von nur zwei Wochen fünf verdächtige Goldkäufe im Gesamtwert von rund 465.000 Euro registriert.
Bei einer Durchsuchung einer Wohnung im Stadtteil Zetland stellten die Beamten Mobiltelefone und Unterlagen sicher. Die Spur führt zu einem noch größeren Betrugsnetzwerk mit einem Schaden von rund 560.000 Euro. Den drei Verdächtigen drohen nun Anklagen wegen Geldwäsche und Bandenbildung.
Phishing-Kits für 500 Euro: Der Marktplatz „W3LL“
Parallel zu den Festnahmen in Australien zerschlugen das FBI und die indonesische Polizei die Plattform „W3LL“. Dieser Marktplatz bot ein Komplettpaket für Cyberkriminelle an – für umgerechnet knapp 500 Euro. Damit konnten selbst technisch unerfahrene Täter täuschend echte Phishing-Kampagnen starten.
Die Bilanz ist erschreckend: Über 17.000 Opfer weltweit, versuchter Betrugsschaden von mehr als 18 Millionen Euro. Die Plattform verkaufte mehr als 25.000 kompromittierte Konten. Besonders perfide: Die Software konnte nicht nur Passwörter abgreifen, sondern auch Sitzungscookies – und damit die Zwei-Faktor-Authentifizierung aushebeln.
Ein mutmaßlicher Entwickler mit den Initialen G.L. wurde in Indonesien festgenommen. Die entscheidenden Server-Domains wurden beschlagnahmt.
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen und wie Sie diese entlarven. In 4 Schritten zur erfolgreichen Hacker-Abwehr
„Tycoon 2FA“: 64.000 Angriffe und ein Marktanteil von 62 Prozent
Bereits im März 2026 hatte eine von Europol geführte Koalition die Plattform „Tycoon 2FA“ zerschlagen. Dieses Netzwerk spezialisierte sich auf sogenannte „Adversary-in-the-Middle“-Angriffe (AiTM). Dabei werden Authentifizierungssitzungen in Echtzeit abgefangen.
Microsoft-Forscher, die den Betreiber unter dem Codenamen „Storm-1747″ verfolgten, dokumentierten über 64.000 großangelegte Phishing-Angriffe. Auf dem Höhepunkt seiner Aktivität war Tycoon 2FA für 62 Prozent aller von Sicherheitsanbietern blockierten Phishing-Versuche verantwortlich.
Die Behörden beschlagnahmten 330 Domains. Die Plattform hatte über 500.000 Organisationen ins Visier genommen – darunter Krankenhäuser und Bildungseinrichtungen.
Operation Atlantic: 42 Millionen Euro Krypto-Diebstahl
Die Erfolge dieser Wochen sind das Ergebnis einer beispiellosen internationalen Zusammenarbeit. Die gemeinsame Operation Atlantic der USA, Großbritanniens und Kanadas zerschlug kürzlich ein Netzwerk, das Kryptowährungen im Wert von rund 42 Millionen Euro gestohlen hatte.
Mithilfe modernster Blockchain-Forensik gelang es den Ermittlern, digitale Vermögenswerte in Höhe von 11 Millionen Euro einzufrieren. Das Geld soll an die Opfer zurückgegeben werden.
Vom reaktiven zum aktiven Schutz
Die Bedrohungslage verschärft sich rasant. Allein Anlagebetrug verursachte in den USA zuletzt Schäden von über sechs Milliarden Euro. Kriminelle nutzen zunehmend generative KI, um täuschend echte Phishing-Nachrichten in mehreren Sprachen zu verfassen.
Die Staaten reagieren. Japan verabschiedete im Mai 2025 ein „Active Cyberdefense Law“. Es erlaubt Behörden, feindliche Infrastruktur zu neutralisieren, bevor ein Angriff stattfindet. Auch die von Europol koordinierte „Operation Endgame“ setzt auf diese Strategie: Statt nur Server abzuschalten, jagen die Ermittler gezielt die Schadsoftware, die Ransomware-Angriffe erst ermöglicht.
Doch die Kriminellen passen sich an. Neue Dienste wie „Rockstar 2FA“ oder „Sneaky 2FA“ tauchen bereits auf verschlüsselten Plattformen wie Telegram auf. Sie nutzen zufälligen Quellcode und ausgefeilte Tarnmethoden.
Die Behörden bleiben dennoch zuversichtlich. Die jüngsten Erfolge zeigen: Anonymität im Netz wird zunehmend brüchig. Wer heute zuschlägt, muss damit rechnen, dass die Ermittler morgen vor der Tür stehen.
