Ein Cyberkriminellen-Netzwerk verkauft und verteilt ein hochentwickeltes Phishing-Kit namens „V3B“, das über Phishing-as-a-Service (PhaaS) und Selbsthosting-Methoden EU-Bankkunden ins Visier nimmt. Dieses Kit ist darauf ausgelegt, Anmeldedaten und Einmal-Codes (OTPs) durch Social-Engineering-Taktiken zu stehlen.

Seit seiner Einführung im März 2023 durch „Vssrtje“ hat die Gruppe einen großen Telegram-Kanal mit über 1.255 Mitgliedern aufgebaut, die in verschiedenen Betrugstechniken versiert sind und sich auf europäische Finanzinstitutionen konzentrieren. Dies führte zu Verlusten in Millionenhöhe, wobei die Kriminellen zudem Geldkuriere einsetzen, um die gestohlenen Finanzdaten zu verarbeiten.

Maßgeschneiderte Täuschung

Das V3B-Kit verwendet angepasste Vorlagen, die echte Online-Banking- und E-Commerce-Anmelde- und Verifizierungsprozesse in verschiedenen EU-Ländern wie Irland, den Niederlanden, Finnland, Österreich, Deutschland, Frankreich, Belgien, Griechenland, Luxemburg und Italien nachahmen. Es unterstützt Mehrfaktorauthentifizierung (MFA) und Lokalisierung, um die Erfolgsquote von Phishing-Kampagnen zu erhöhen.

Verkauf auf dem Dark Web

Das „V3B + UPanel“-Phishing-Kit wird auf dem Dark Web für 130 bis 450 Dollar pro Monat in Kryptowährung verkauft. Es verwendet verschleiertes JavaScript, um Online-Banking-Anmeldungen aus verschiedenen Ländern nachzuahmen und von Anti-Phishing-Systemen und Suchmaschinen unerkannt zu bleiben.

Erweiterte Funktionen zur Täuschung

Das Kit bietet mehrsprachige Unterstützung, Maßnahmen gegen Bots, mobile/desktop Schnittstellen und Live-Chat, um Opfer zur Preisgabe von Einmal-Passwörtern oder Kreditkartendetails zu verleiten, während die gestohlenen Daten über die Telegram-API an den Angreifer gesendet werden.

Eine neue Funktion des Kits nutzt Echtzeitinteraktion und QR-Code-Manipulation, um Angreifer zu alarmieren, wenn ein Opfer die Phishing-Seite betritt. Dies ermöglicht es ihnen, dynamisch verschiedene Anmeldeinformationen wie SMS-OTPs, Kreditkartendetails oder sogar einen QR-Code anzufordern.

Ausnutzung legitimer Login-Methoden: Viele Finanzdienstleister nutzen legitime Login-Methoden, die diese QR-Code-Funktionalität ausnutzt. Wenn das Opfer den QR-Code scannt, während es eingeloggt ist, kann der Angreifer seine Sitzung stehlen und unbefugten Zugang erlangen.

Betrüger entwickeln auch neue Methoden, um die starke Kundenauthentifizierung (SCA) im Online-Banking zu umgehen. Ein kürzlich entdecktes Banking-Trojaner-Kit umfasst Funktionen, um PhotoTAN-Codes anzufordern, eine beliebte mobile Bankenauthentifizierungsmethode in Deutschland und der Schweiz, die Einmal-Passwörter aus speziellen Bildern generiert.

Das Kit unterstützt auch Smart ID, eine weitere SCA-Methode, die in europäischen und baltischen Banksystemen verwendet wird, was darauf hindeutet, dass Betrüger mit der Einführung neuer Authentifizierungstechnologien Schritt halten und aktiv Methoden entwickeln, um sie auszunutzen. Dies unterstreicht die anhaltenden Herausforderungen, denen sich Betrugspräventionsteams gegenübersehen, um Kundenkonten zu sichern.