Europol nimmt Phishing-Dienste-Plattform Labhost hops

Europol ist ein Schlag gegen eine der größten Phishing-as-a-service-Plattformen weltweit gelungen. Nach einer jahrelangen internationalen Kooperation sei die Kompromittierung der Labhost-Infrastruktur gelungen.

Die europäischen Strafverfolger teilen mit, dass zwischen dem 14. und 17. April insgesamt 70 Adressen quer über die ganze Welt verteilt durchsucht wurden. Das mündete in der Festnahme von 37 Verdächtigen. Dazu gehören auch vier Personen aus dem vereinigten Königreich, die mit dem Betrieb der Seite in Zusammenhang stehen, einschließlich des Originalentwicklers der Dienste.

Labhost-Plattform abgeschaltet

Der Dienst nannte sich Labhost, war offen im Netz verfügbar – also nicht im Darknet versteckt – und wurde bei der Operation abgeschaltet. Federführend bei der Aktion war Londons Metropolitan Police, die von Europols European Cybercrime Centre (EC3) und der Joint Cybercrime Action Taskforce (J-CAT) unterstützt wurde. Zudem waren Strafverfolger aus 19 Ländern beteiligt.

Cybercrime-as-a-service sei ein schnell wachsendes Geschäftsmodell geworden, erklärt Europol. Bösartige Akteure vermieten oder verkaufen Werkzeuge oder Dienste an andere Cyberkriminelle, die damit ihre Angriffe ausführen. Dieses Modell ist insbesondere bei Ransomware wohlbekannt, greift nun aber auch auf andere Bereiche wie Phishing über. Labhost hat sich zu einem signifikanten Anbieter für Täter weltweit etabliert. Dort wurden für eine monatliche Abo-Gebühr Phishing-Kits, Infrastruktur zum Hosten von Webseiten, interaktiven Funktionen zur direkten Interaktion mit Opfern sowie Dienste für die Übersicht über Phishing-Kampagnen angeboten.

Die Untersuchungen förderte mehr als 40.000 Phishing-Domains mit Verbindung zu Labhost zutage. Sie hatten mehrere 10.000 Nutzer, ergänzt Europol. Durchschnittlich lag die monatliche Gebühr bei 249 US-Dollar für die illegalen Dienste, die sich mit wenigen Mausklicks anpassen und zum Einsatz bringen ließen. Mit Preisstaffel standen mehr Ziele zur Wahl aus Finanzinstitutionen, Post-Diensten oder Telekommunikationsanbietern. Insgesamt konnten Labhost-Nutzer aus mehr als 170 gefälschten Webseiten auswählen, die überzeugende Phishingseiten lieferten. Die Londoner Metropolitan Police fügt hinzu, dass Labhost seit der Erstellung rund 1.173.000 US-Dollar an Einnahmen generiert hat. Global habe der kriminelle Dienst 480.000 Kreditkartennummern sowie 64.000 PINs sowie mehr als eine Million Passwörter gesammelt.

Das Kampagnen-Verwaltungswerkzeug Labrat erlaubte Cyberkriminellen nicht nur das Starten und Überwachen von Angriffen in Echtzeit. Es konnte auch Zwei-Faktor-Authentifizierung und Zugangsdaten abfangen, mit denen die Täter erweiterte Sicherheitsmaßnahmen umgehen können.

Kriminelle Dienst-Plattformen ermöglichen Unbedarften Online-Straftaten

Plattformen wie Labhost machen strafbare Online-Aktivitäten auch für ungelernte Akteure einfach zugreifbar und weiten so die Masse an Cyberkriminellen aus. "Die große Datenmenge, die bei den Untersuchungen gesammelt wurde, ist nun im Besitz der Strafverfolgung. Diese Daten werden genutzt, um fortlaufende internationale Aktivitäten zum Aufspüren der bösartigen Nutzer der Plattform zu unterstützen", ergänzt Europol. Laut der Londoner Polizei ging kurz nach der Übernahme der Plattform eine Nachricht an 800 Nutzer. Darin habe man den Usern mitgeteilt, dass ihre Identitäten und ihre Taten bekannt seien. Als Beleg fügte die Polizei Informationen über Zahlungen, Seitenzugriffe und Datensätze hinzu. Viele der Personen bleiben demnach im Fokus der Untersuchungen in den kommenden Wochen und Monaten.

Erst in der vergangenen Woche konnte auch das BKA einen kriminellen Online-Marktplatz abschalten. Dort wurden Dienste angeboten, mit denen Malware vor der Erkennung von Antivirensoftware geschützt werden konnten. Auf "AegisTools-pw" gab es demnach neben solchen Cryptoren auch Dienste, mit denen der Erfolg der Verschleierung gegen Virenscanner getestet werden konnte.

(dmk)