Das FBI und Indonesien haben gemeinsam ein W3LL-Phishing-Netzwerk zerschlagen; der Fall betrifft mehr als 20 Millionen US-Dollar.

Die US-Bundespolizei (FBI), Außenstelle Atlanta, und die indonesische Nationalpolizei haben am 14. April gemeinsam bekanntgegeben, dass es gelungen ist, die grundlegende Infrastruktur des W3LL-Phishing-Netzwerks erfolgreich zu zerschlagen. Dabei wurden entscheidende technische Ausrüstung beschlagnahmt, die in direktem Zusammenhang mit Betrügereien im Umfang von über 20.000.000 US-Dollar steht, und der verdächtigte Entwickler GL festgenommen. Die Maßnahme wurde durch rechtliche Unterstützung des US-Bundesstaatsanwaltsamts für den nördlichen Bezirk von Georgia begleitet. Es handelt sich um den ersten gemeinsamen Schlag beider Strafverfolgungsbehörden aus den USA und Indonesien gegen eine Hacker-Plattform.

Funktionsmechanismus des W3LL-Phishing-Netzwerks: kriminelle Tools ab 500 US-Dollar

Der Kern der Konstruktion des W3LL-Phishing-Toolkits liegt darin, nahezu täuschend echte gefälschte Login-Seiten zu erstellen, um Opfer dazu zu verleiten, ihre Kontodaten aktiv einzugeben. Angreifer können die Nutzungsrechte für das Tool für rund 500 US-Dollar über den Untergrundmarkt W3LLSTORE erwerben. Dadurch verbreitet es sich in kriminellen Kreisen rasch; etwa 500 Bedrohungsakteure sind nachweislich aktiv mit der Nutzung befasst. So entsteht ein stark organisierter Ökosystemraum für Cyberkriminalität.

Die zerstörerischste Funktion des W3LL-Phishing-Netzwerks ist jedoch der Man-in-the-Middle-Angriff (AiTM). Angreifer können die Login-Sitzung des Opfers in Echtzeit abfangen und im selben Moment, in dem der Benutzer Kontoname und Passwort eingibt, die Authentifizierungstokens synchron stehlen. Das bedeutet: Selbst wenn das Konto durch einen Schutz mit Multi-Faktor-Authentifizierung (MFA) abgesichert ist, kann der Angreifer in dem Moment übernehmen, in dem die Authentifizierung abgeschlossen ist, und die verifizierte Sitzung kapern. Damit wird der Schutz durch MFA faktisch ausgehebelt.

Kriminalitätsumfang und Entwicklungspfad

Die Kriminalitätsgeschichte des W3LL-Phishing-Netzwerks erstreckt sich über mehrere Jahre und zeigt einen klaren, anti-gesetzlichen Evolutionspfad:

2019–2023: Der Untergrundmarkt W3LLSTORE war aktiv und ermöglichte den Umlauf von Transaktionen mit gestohlenen Zugangsdaten in über 25.000 Fällen

Nach der Schließung des Marktes: Betreiber wechselten zu Anwendungen für verschlüsselte Kommunikation und verteilen weiterhin neu verpackte Tools, um die Verfolgung durch Strafverfolgungsbehörden zu umgehen

2023–2024: Das Toolkit verursachte weltweit mehr als 17.000 Opfer

14. April 2026: Die gemeinsame Aktion von USA und Indonesien führte erfolgreich zu einer Beschlagnahme der Infrastruktur; der Entwickler GL wurde inhaftiert

Das gesamte kriminelle Ökosystem ist stark organisiert – von der Entwicklung der Tools über den Marktverkauf bis hin zur praktischen Ausführung der Angriffe – und bildet so eine vollständige Lieferkette für Cyberkriminalität.

Sicherheitskooperation zwischen USA und Indonesien: neue Dimension des gemeinsamen Kampfes gegen Cyberkriminalität

Der Zeitpunkt der gemeinsamen Beschlagnahmeaktion hat eine diplomatische Bedeutung. Am 13. April haben die USA und Indonesien offiziell bekanntgegeben, dass sie eine zentrale Verteidigungspartnerschaft aufbauen. Der Rahmen umfasst die militärische Modernisierung im Indopazifik, professionelle Bildung und gemeinsame Übungen. Die Beschlagnahmeaktion gegen das W3LL-Phishing-Netzwerk zeigt, dass die bilaterale Sicherheitskooperation bereits offiziell in den Bereich der Cyberkriminalitätsbekämpfung durch Strafverfolgung ausgeweitet wurde.

Besonders hervorzuheben ist, dass die Bedrohung durch Phishing im Cyberraum für Inhaber von Kryptowährungen weiter zunimmt. Im Januar 2026 lag der Verlustbetrag, den Krypto-Investoren durch Phishing-Angriffe in einem einzigen Monat erlitten haben, bereits über 300.000.000 US-Dollar. Das verdeutlicht, dass die allgemeine Bedrohungslage selbst dann nicht als optimistisch bewertet werden kann, wenn die Bekämpfungsaktion gegen das W3LL-Phishing-Netzwerk Erfolge erzielt hat.

Häufige Fragen

Warum konnte das W3LL-Phishing-Toolkit in der Cyberkriminalitäts-Community so weit verbreitet sein?

Die schnelle Verbreitung des W3LL-Toolkits beruht auf zwei Hauptfaktoren: den extrem niedrigen Einstiegskosten von 500 US-Dollar sowie der Fähigkeit anderer Tools, seltene Multi-Faktor-Authentifizierungen (Mehrfaktoren-Authentifizierung) zu umgehen. Die Kombination aus niedriger Einstiegshürde und hoher Leistungsfähigkeit macht es zum bevorzugten Angriffstool organisierter Gruppen der Cyberkriminalität, wodurch sich auf dem Untergrundmarkt eine stabile Verkaufs- und Lieferkette etabliert hat.

Wie wird die Multi-Faktor-Authentifizierung (MFA) durch das W3LL-Toolkit umgangen?

Das W3LL-Toolkit nutzt Man-in-the-Middle-Angriffe (AiTM). Dabei kapern Angreifer im Moment, in dem das Opfer die MFA-Verifizierung abgeschlossen hat, sofort die verifizierte Login-Sitzung und die Authentifizierungstokens. So können Angreifer sich auch ohne Kenntnis des zweiten Faktors weiterhin als Opfer bei dem Zielkonto anmelden, wodurch herkömmliche MFA-Schutzmechanismen wirkungslos werden.

Wie können Nutzer von Kryptowährungen sich wirksam vor solchen fortgeschrittenen Phishing-Angriffen schützen?

Zu den entscheidenden Schutzmaßnahmen gehören: die Verwendung von Hardware-Sicherheitsschlüsseln (wie YubiKey) anstelle von SMS oder App-basierten OTPs als Methode für die Multi-Faktor-Authentifizierung, wobei Letztere AiTM-Angriffe wirksam abwehren kann; das sorgfältige Prüfen der Echtheit der Domain, bevor man irgendeine Plattform aufruft; sowie das Vermeiden des Klickens auf Login-Links in E-Mails oder Nachrichten unbekannter Herkunft.