Phishing-Kampagne im großen Stil: BlueVoyant deckt Missbrauch von Weebly zur Täuschung von US-Bankenkunden auf

Eine aktuelle Analyse des Cybersicherheitsunternehmens BlueVoyant hat eine weitreichende Phishing-Kampagne ans Licht gebracht, bei der die Website-Plattform Weebly gezielt missbraucht wurde. Die Angreifer erstellten systematisch Hunderte gefälschter Webseiten, die kleinen und mittelgroßen Finanzinstituten in den USA täuschend echt nachempfunden waren.

Dabei nutzten die Kriminellen gezielt die einfache Bedienbarkeit sowie das seriöse Image von Weebly, um das Vertrauen potenzieller Opfer zu gewinnen und deren Zugangsdaten abzufischen. Die Kampagne zeigt, wie raffiniert und professionell Phishing-Akteure mittlerweile vorgehen – und wie selbst etablierte Plattformen zunehmend zum Werkzeug für Cyberkriminelle werden.

Laut BlueVoyant handelt es sich um eine besorgniserregende Weiterentwicklung klassischer Phishing-Methoden, die insbesondere kleinere Finanzinstitute ins Visier nimmt. Die Enthüllungen unterstreichen einmal mehr die Notwendigkeit, digitale Infrastrukturen besser vor Missbrauch zu schützen.

Zentrale Erkenntnisse: Wie die Kampagne funktioniert und warum sie relevant ist

Missbrauch legitimer Infrastruktur

Weebly, ein Unternehmen im Besitz von Block, Inc., wird häufig von kleinen Unternehmen und Selbstständigen genutzt, um über Drag-and-Drop-Funktionen Websites zu erstellen. Genau diese Funktionen wurden von Cyberkriminellen missbraucht, um täuschend echte gefälschte Bank-Websites zu generieren. Die Angreifer nutzen die Subdomain-Struktur von Weebly (z. B. fhbonline.weebly.com), um authentisch wirkende Bankdomains zu imitieren. Dadurch gelingt es ihnen, herkömmliche Sicherheitsfilter zu umgehen und das Vertrauen der Nutzer auszunutzen.

Massen-Phishing durch Templates und Automatisierung

Das Ausmaß der Operation wird durch die integrierten Weebly-Vorlagen ermöglicht, die von Angreifern als generische Phishing-Kits umfunktioniert werden. Durch einfaches Austauschen von Markenmerkmalen wie Logos und Hintergrundbildern lassen sich innerhalb von Minuten neue Phishing-Seiten generieren. Eine Simulation von BlueVoyant zeigte, dass eine solche Seite in weniger als einer Stunde einsatzbereit sein kann.

Gezielte Angriffe auf US-Finanzinstitute

Im Rahmen dieser Kampagne wurden über 200 kleinere und mittelgroße Banken sowie Kreditgenossenschaften nachgeahmt. BlueVoyant beobachtete regionale Angriffsmuster, darunter Cluster gefälschter Seiten, die sich auf Banken in bestimmten US-Bundesstaaten wie Maine, New York und Vermont konzentrierten. Dies deutet darauf hin, dass die Angreifer mit strukturierten Ziellisten arbeiten und ihre Taktiken gezielt an regionale Schwachstellen anpassen.

Proof-of-Concept-Exploits und verzögerte Takedowns

In vielen Fällen wurde jede Bank zunächst nur mit einer einzigen Phishing-Seite attackiert. Dies erlaubte es den Angreifern, die Reaktionsgeschwindigkeit beim Entfernen der Seiten zu analysieren. Institute, die nicht schnell genug reagierten, wurden mehrfach angegriffen. So wurde beispielsweise eine kleine Bank mit einem Vermögen von 200 Millionen US-Dollar wiederholt Ziel von Angriffen, nachdem ihre erste gefälschte Website monatelang online blieb – im Gegensatz zu einer größeren Bank, die prompt reagierte.

Komplexe Infrastruktur und Umgehungstechniken

Neben Weebly ist es möglich, dass ähnliche Taktiken auch auf anderen Plattformen mit Subdomain-Hosting angewandt werden. Die dezentrale Struktur dieser Plattformen erschwert eine koordinierte Abschaltung, während Angreifer von schneller Bereitstellung und geringem Aufwand profitieren.

Fazit: Warum auch Banken in Deutschland sich auf plattformbasiertes Phishing vorbereiten müssen

Die Weebly-Kampagne zeigt exemplarisch, wie Bedrohungsakteure vermehrt legitime Plattformen nutzen, um kostengünstige und effektive Phishing-Kampagnen in großem Maßstab umzusetzen. Für kleine und mittelgroße Finanzinstitute unterstreichen die Erkenntnisse die Dringlichkeit früher Erkennung und schneller Reaktionsfähigkeit. DNS-Monitoring spielt eine zentrale Rolle bei der Identifikation von Phishing-Seiten auf Subdomains, da diese oft nur über DNS-Einträge auffindbar sind. Eine zeitnahe Abschaltung bösartiger Domains ist entscheidend – Institute, die zögern, werden häufiger zum Ziel wiederholter Angriffe.

Auch wenn sich die aktuelle Kampagne auf US-Banken konzentriert, lassen sich die eingesetzten Taktiken problemlos übertragen. Banken und Finanzinstitute in Deutschland und ganz Europa sind ähnlichen Risiken ausgesetzt und sollten entsprechend vorbereitet sein. Die Stärkung der digitalen Risikoanalyse, die Überwachung von DNS-Aktivitäten und die Zusammenarbeit mit externen Threat-Intelligence-Diensten zur schnellen Abschaltung verdächtiger Domains können die Angriffsfläche gegenüber dieser Art von Bedrohung deutlich reduzieren.

Die komplette Untersuchung von BlueVoyant finden Sie hier: https://www.bluevoyant.com/resources/weebly-phishing-campaign-analysis

Mehr zum Thema – Unsere Empfehlungen

---