Outsider Enterprise: FBI und Google zerschlagen 1,9-Mrd-Euro-Betrugsring

Internationale Ermittler und Tech-Konzerne haben mehrere großangelegte Phishing-Infrastrukturen zerschlagen. Die Operationen richteten sich gegen kriminelle Dienstleistungen, die sogar Künstliche Intelligenz für ihre Betrugsmaschen nutzten.

Die koordinierten Aktionen trafen mehrere sogenannte Phishing-as-a-Service (PhaaS)-Netzwerke. Diese boten Kriminellen fertige Werkzeuge für Betrugskampagnen – vom Aufsetzen gefälschter Webseiten bis zum Versand massenhafter Phishing-Mails. Die Schadenssumme geht in die Milliarden, Millionen Nutzerkonten wurden kompromittiert.

FBI und Google zerschlagen KI-gestützten Betrugsring

Anzeige: Wer die Raffinesse moderner Phishing-as-a-Service-Netzwerke verstehen will, findet in diesem Report die wichtigsten Schutzmaßnahmen – von der Erkennung KI-generierter Fake-Seiten bis zur Absicherung von Microsoft 365 gegen Token-Diebstahl. Jetzt kostenlosen Sicherheits-Report anfordern

Ein besonders spektakulärer Fall: Die US-Bundespolizei FBI und Google haben das Netzwerk Outsider Enterprise lahmgelegt. Die Bande war rund drei Jahre aktiv und verursachte Schäden von geschätzt 1,9 Milliarden Euro. Ihre Spezialität: täuschend echte Fake-Webseiten, erstellt mit Googles KI-Modell Gemini.

Die Ermittler deckten auf: Outsider Enterprise betrieb über 9.000 gefälschte Webseiten und generierte mehr als eine Million Phishing-URLs. Die Betrüger gaben sich als YouTube, die US-Post oder Google selbst aus. Ihr Service war im Abo-Modell für umgerechnet rund 80 Euro pro Woche buchbar.

Die Bilanz ist erschreckend: Rund 3,9 Millionen Kreditkartendaten wurden gestohlen. Allein in zwei Wochen versandte die Gruppe 2,5 Millionen betrügerische SMS an Android-Nutzer. Bei der Razzia beschlagnahmten die Behörden Server, Domains und Kryptowährungen im Wert von etwa 90.000 Euro.

Gekaperter Server in Großbritannien: 8,9 Millionen Fake-Mails

Ein weiterer Fall zeigt die Dreistigkeit der Täter. Sicherheitsforscher entdeckten eine massive Phishing-Kampagne, die von einem gekaperten Terminalserver eines britischen Unternehmens ausging. Die Angreifer verschickten 8,9 Millionen E-Mails im Namen der Apothekenkette Boots.

Wie gelang der Einbruch? Die Hacker starteten einen sogenannten RDP-Brute-Force-Angriff mit über 206.000 Versuchen – vier davon waren erfolgreich. Die Spur führt zu einer rumänischen IP-Adresse. Die Täter nutzten legitime Massenmail-Software und lockten mit angeblichen Gratisgeschenken. Die Phishing-Seite selbst lag auf einer kompromittierten Regierungswebseite in Bolivien. Das bolivianische Computer-Notfallteam wurde eingeschaltet.

Interpol jagt "SniperDz" und "The Quarry"

Auch international laufen die Ermittlungen auf Hochtouren. Interpol und die algerische Polizei haben gemeinsam mit der Sicherheitsfirma Group-IB die Plattform SniperDz zerschlagen. Fast ein Jahrzehnt war der Dienst aktiv, nutzte über 20.000 Domains und zielte auf Nutzer von PayPal, Facebook, Instagram und Netflix. Die Entwickler wurden festgenommen, ein Telegram-Kanal mit tausenden Abonnenten wurde stillgelegt.

Parallel dazu analysieren Experten eine weitere PhaaS-Operation namens The Quarry. Seit Frühjahr 2025 ist das Toolkit aktiv, entwickelt von einem Nutzer namens RockyBelling. Rund 200 Betreiber nutzen es, um US-Steuerzahler zu täuschen. Die Masche: Sie geben sich als IRS (US-Steuerbehörde) oder Sozialversicherung aus und setzen legitime Fernwartungssoftware ein, um an sensible Dokumente wie Steuerformulare oder Cloud-Zugänge zu gelangen.

Microsoft 365 im Visier: Neue Schwachstellen und Token-Diebstahl

Anzeige: RDP-Brute-Force-Angriffe mit über 200.000 Versuchen sind keine Seltenheit – ein gekaperter Terminalserver kann Millionen Fake-Mails versenden. Dieser Report zeigt, wie Sie Ihre RDP-Zugänge sichern und kompromittierte Server erkennen. RDP-Sicherheits-Checkliste jetzt sichern

Aktuelle Berichte zeigen zudem kritische Lücken in Microsoft 365. Eine Schwachstelle namens SearchLeak in Microsoft 365 Copilot wurde kürzlich geschlossen. Forscher konnten zeigen, dass Angreifer über manipulierte URLs sensible Daten wie MFA-Codes (Mehrfaktor-Authentifizierung) abgreifen konnten.

Das FBI warnt zudem vor der Plattform Kali365, die seit April aktiv ist. Sie ermöglicht Angreifern, die MFA zu umgehen, indem sie OAuth-Tokens stehlen – durch Missbrauch des sogenannten Microsoft-Gerätecode-Flows. Ähnliche Methoden nutzt das Toolkit EvilTokens, das seit Jahresbeginn bereits über 340 Organisationen angegriffen hat.

Sicherheitsexperten raten Unternehmen dringend, bedingte Zugriffsrichtlinien zu implementieren und den Gerätecode-Flow zu blockieren. Nur so lässt sich das Risiko von Token-Diebstählen und unbefugtem Zugriff eindämmen.

de | wissenschaft | 69554442 |