Phishing-Provider BulletProftLink offline genommen

Die Royal Malaysia Police hat in Zusammenarbeit mit internationalen Strafverfolgungsbehörden den PaaS-Provider BulletProftLink zerschlagen. Am 6. November wurden bei einer gemeinsamen Aktion acht Personen festgenommen, darunter der mutmaßliche Kopf der Bande. Die Verdächtigen wurden in verschiedenen Städten Malaysias verhaftet. Die Festnahmen waren das Ergebnis einer zweiwöchigen Ermittlung, an der die Royal Malaysia Police die Australische Bundespolizei AFP und das FBI beteiligt waren. Die malaysische Ermittlungsabteilung für Wirtschaftskriminalität spielte ähnlich wie eine wichtige Rolle bei den Untersuchungen. Sie entdeckten eine Geldspur und sammelten Informationen über mögliche Beteiligungen an Investmentbetrügereien.



BulletProftLink war ein PaaS-Anbieter für Phishing-Dienste der es seinen Kunden ermöglichte, offizielle Webseiten und E-Mails zu imitieren um die Daten der Besucher abzugreifen. Die betroffenen Websites waren nicht nur malaysische Regierungsseiten, allerdings ebenfalls solche aus den USA und Australien. Unter den Opfern befanden sich auch Mitarbeiter der Zollbehörde und andere Beamte. BulletProftLink konnte auch Websites von DHL » Microsoft Office « American Express und der Bank of America nachahmen.



Der Schaden der durch die Aktivitäten von BulletProftLink verursacht wurde, wird auf etwa 1⸴2 Millionen MYR (etwa 240․000 EUR) geschätzt, obwohl dabei die tatsächliche Dunkelziffer wahrscheinlich höher liegt. Bei den Durchsuchungen wurden Kryptowährungen im Wert von rund 960․000 MYR (~circa․ 190․000 EUR), Schmuck, CPUs, Fahrzeuge und andere Wertgegenstände beschlagnahmt. Die Server von BulletProftLink wurden ebenfalls sichergestellt.



Der mutmaßliche Kopf der Bande, ein Mann in seinen 40ern der keine formale Ausbildung im Bereich Informationstechnologie hatte, lebte ausschließlich von den Erträgen seines Phishing-Projekts. Seine Mitarbeiter hatten hingegen umfangreiches Wissen im Bereich Phishing. BulletProftLink bot verschiedene Tarife an – die zwischen 750 EUR und 1800 EUR pro Monat kosteten. Das teuerste Paket enthielt gestohlene Logindaten aus verschiedenen Quellen. Kunden konnten auch eine E-Mail-Adresse bereitstellen die von BulletProftLink als Spamquelle genutzt wurde, wofür jedoch zusätzliche Kosten anfielen. Für technisch versierte Kunden bestand auch die Möglichkeit, ein Template der gewünschten Website zu erwerben um das Phishing-Projekt selbst durchzuführen.



BulletProftLink hatte über 8000 Kunden und weiterhin als 320 Webseitentemplates im Angebot. Zusätzlich wurde auch der Sourcecode von evilginx2 angeboten, einer Software die zur Verwendung AITM-Angriffe (adversary-in-the-middle) verwendet wird. Evilginx2 konnte nicht nur Logindaten, einschließlich Session Tokens abgreifen was es besonders gefährlich machte, da es Angreifern ermöglichte, Multi-Faktor-Authentifizierung zu umgehen.



Microsoft bezeichnete BulletProftLink in einem Blogpost von 2021 als verantwortlich für viele der Phishing-Kampagnen gegen Unternehmen. Die Bande begann ihre Aktivitäten im Jahr 2015 wurde aber erst ab 2020 aktiv. Nachlässige Sicherheitsvorkehrungen, ebenso wie das öffentliche Posten von Quellcode auf GitHub und verärgerte Kunden die Bitcoin-Transaktionen mit den BulletProftLink-Wallets dokumentierten, trugen wahrscheinlich zum Scheitern der Bande bei.



Essenziell bleibt sich vor Phishing zu schützen. Wir haben bereits in einem früheren Artikel darüber berichtet wie man dies tun kann.






Kommentare


Anzeige