Grosse Cybercrime-Plattformen sind immer schneller und effektiver im Fokus von Ermittlern: In einem bemerkenswerten Vorgehen haben nun internationale Ermittlungsbehörden die Plattform LabHost, einen der weltweit größten Anbieter von Phishing-as-a-Service (PhaaS), zerschlagen.
Diese Operation, die von den Behörden aus 19 Ländern koordiniert wurde, führte zur Beschlagnahmung von LabHosts Infrastruktur und der Verhaftung zahlreicher Verdächtiger. In diesem Beitrag wird beleuchtet, was LabHost war, wie die Cyberkriminellen agierten und wie die Ermittler ihnen eine Falle stellten.
Was war LabHost?
LabHost war mehr als nur eine Website; es war eine umfassende Plattform, die Cyberkriminellen alles zur Verfügung stellte, was sie für ihre Phishing-Angriffe benötigten. Für eine monatliche Gebühr konnten Nutzer Phishing-Kits, Hosting-Infrastruktur für gefälschte Webseiten, interaktive Tools zur direkten Kommunikation mit Opfern und Überwachungsdienste für ihre Phishing-Kampagnen erwerben.
Die Plattform hatte weltweit etwa 10.000 aktive Nutzer und war an der Erstellung von über 40.000 Phishing-Domains beteiligt. Die Dienste von LabHost ermöglichten es Kriminellen, gefälschte Webseiten zu erstellen, die legitimen Seiten von Banken, Online-Diensten und anderen Unternehmen täuschend ähnlich sahen, um so an die persönlichen Daten der Opfer zu gelangen.
Wie funktionierte der Betrug?
Typische Angriffe mit LabHost begannen oft mit einer gefälschten Nachricht, die Dringlichkeit suggerierte – etwa eine vermeintlich kompromittierte Bankverbindung oder ein angebliches Paket, das eine Zollgebühr erforderte. Diese Nachrichten enthielten Links zu gefälschten Webseiten, die das Design und die Struktur der echten Seiten imitierten. Sobald die Opfer ihre Daten auf diesen Seiten eingaben, wurden diese Informationen an die Kriminellen weitergeleitet.
Besonders perfide war die Funktionalität von LabHost zur Erfassung von Zwei-Faktor-Authentifizierungscodes, was es den Kriminellen ermöglichte, auch Sicherheitsmaßnahmen zu umgehen, die normalerweise zusätzlichen Schutz bieten sollten.
Die internationale Ermittlung und der Zugriff
Die Ermittlungen gegen LabHost begannen im Jahr 2023, als die London Metropolitan Police, unterstützt von Europols European Cybercrime Centre (EC3) und dem Joint Cybercrime Action Taskforce (J-CAT), erste Hinweise auf die kriminellen Aktivitäten erhielt. In enger Zusammenarbeit mit internationalen Partnern wurde die Infrastruktur von LabHost über Monate hinweg überwacht und analysiert.
Ein entscheidender Schritt war die Unterwanderung der Plattform durch verdeckte Ermittler, die sich Zugang zu den Systemen verschafften und so wichtige Beweise sammelten. Während der Aktionstage vom 14. bis 17. April 2024 durchsuchten Ermittler weltweit 70 Adressen und verhafteten 37 Verdächtige, darunter auch die Hauptverantwortlichen in Großbritannien.
Die Falle und ihre Folgen
Die Ermittler legten den Cyberkriminellen eine Falle, indem sie die wichtigsten Server von LabHost identifizierten und beschlagnahmten. Vier zentrale Domains wurden in den USA durch die US-Behörden beschlagnahmt, was zur effektiven Abschaltung der Plattform führte. Zusätzlich wurden weltweit zahlreiche Server und Geräte sichergestellt, die für die Phishing-Aktivitäten genutzt wurden. Allein in Australien waren über 200 Beamte an der Durchführung von 22 Durchsuchungsbefehlen beteiligt, die zur Verhaftung mehrerer Verdächtiger führten.
Ausblick
Die Zerschlagung von LabHost stellt einen bedeutenden Erfolg im Kampf gegen die Cyberkriminalität dar. Sie zeigt eindrucksvoll, wie wichtig internationale Zusammenarbeit und modernste Ermittlungstechniken sind, um komplexe kriminelle Netzwerke zu bekämpfen. Dennoch bleibt die Bedrohung durch Phishing und andere Cyberangriffe bestehen, und es ist weiterhin wichtig, dass Einzelpersonen und Unternehmen wachsam bleiben und sich gegen solche Bedrohungen schützen.
Die Ermittlungen gegen die Nutzer von LabHost sind noch nicht abgeschlossen, und weitere Verhaftungen könnten folgen. Dieser Fall dient als Warnung an alle Cyberkriminellen, dass sie sich nicht hinter der Anonymität des Internets verstecken können.
- FBI legt Kryptobetrüger mit gefälschtem Token herein: „Operation Token Mirrors“ - 15. Oktober 2024
- Agent Provocateur - 15. Oktober 2024
- Kündigungsbutton: Anforderungen an die Gestaltung des Kündigungsprozesses bei online abgeschlossenen Verträgen - 13. Oktober 2024