Massives Banken-Phishing über Weebly-Plattform

Veröffentlicht am 17. August 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Sicherheitsanbieter BlueVoyant hat eine massive Phishing-Kampagne entdeckt, die vor allem Kunden von US-Banken über die Plattform Weebly ins Visier nimmt. Weebly ermöglicht auf einfache Weise Webseiten zu erstellen, was wohl in der Phishing-Kampagne ausgenutzt wird. Hier einige Informationen, die mir bereits seit Anfang August 2025 vorliegen.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Eine neue Untersuchung von BlueVoyant hat eine Phishing-Kampagne großen Ausmaßes aufgedeckt, bei der das populäre Webentwicklungsunternehmen Weebly.com missbraucht wurde, um kleine und mittelgroße Finanzinstitute in den Vereinigten Staaten zu imitieren.

Die hinter der Kampagne stehenden Angreifer haben systematisch Hunderte gefälschter Websites erstellt und dabei die Benutzerfreundlichkeit sowie die als vertrauenswürdig wahrgenommene Infrastruktur von Weebly gezielt ausgenutzt, um Nutzer zu täuschen und sensible Zugangsdaten abzugreifen.

Die Kampagne markiert laut BlueVoyant eine bedenkliche Weiterentwicklung gängiger Phishing-Taktiken – wobei mir solche Kampagnen seit Monaten über andere Plattformen bekannt sind und hier im Blog thematisiert wurden. Die Kampagne zeigt aber auf, wie legitime digitale Plattformen zunehmend für kriminelle Zwecke instrumentalisiert werden. Nachfolgend wird skizziert, wie die Kampagne funktioniert und warum sie relevant ist.

Missbrauch legitimer Infrastruktur

Weebly, ein Unternehmen im Besitz von Block, Inc., wird häufig von kleinen Unternehmen und Selbstständigen genutzt, um über Drag-and-Drop-Funktionen Websites zu erstellen. Genau diese Funktionen wurden von Cyberkriminellen missbraucht, um täuschend echte gefälschte Bank-Websites zu generieren. Die Angreifer nutzen die Subdomain-Struktur von Weebly (z. B. fhbonline.weebly.com), um authentisch wirkende Bankdomains zu imitieren. Dadurch gelingt es ihnen, herkömmliche Sicherheitsfilter zu umgehen und das Vertrauen der Nutzer auszunutzen.

Massen-Phishing durch Templates und Automatisierung

Das Ausmaß der Operation wird durch die integrierten Weebly-Vorlagen ermöglicht, die von Angreifern als generische Phishing-Kits umfunktioniert werden. Durch einfaches Austauschen von Markenmerkmalen wie Logos und Hintergrundbildern lassen sich innerhalb von Minuten neue Phishing-Seiten generieren. Eine Simulation von BlueVoyant zeigte, dass eine solche Seite in weniger als einer Stunde einsatzbereit sein kann.

Gezielte Angriffe auf US-Finanzinstitute

Im Rahmen dieser Kampagne wurden über 200 kleinere und mittelgroße Banken sowie Kreditgenossenschaften nachgeahmt. BlueVoyant beobachtete regionale Angriffsmuster, darunter Cluster gefälschter Seiten, die sich auf Banken in bestimmten US-Bundesstaaten wie Maine, New York und Vermont konzentrierten. Dies deutet darauf hin, dass die Angreifer mit strukturierten Ziellisten arbeiten und ihre Taktiken gezielt an regionale Schwachstellen anpassen.

Proof-of-Concept-Exploits und verzögerte Takedowns

In vielen Fällen wurde jede Bank zunächst nur mit einer einzigen Phishing-Seite attackiert. Dies erlaubte es den Angreifern, die Reaktionsgeschwindigkeit beim Entfernen der Seiten zu analysieren. Institute, die nicht schnell genug reagierten, wurden mehrfach angegriffen. So wurde beispielsweise eine kleine Bank mit einem Vermögen von 200 Millionen US-Dollar wiederholt Ziel von Angriffen, nachdem ihre erste gefälschte Website monatelang online blieb – im Gegensatz zu einer größeren Bank, die prompt reagierte.

Komplexe Infrastruktur und Umgehungstechniken

Neben Weebly ist es möglich, dass ähnliche Taktiken auch auf anderen Plattformen mit Subdomain-Hosting angewandt werden. Die dezentrale Struktur dieser Plattformen erschwert eine koordinierte Abschaltung, während Angreifer von schneller Bereitstellung und geringem Aufwand profitieren.

Auch deutsche Banken und Kunden sollen achtsam bleiben

Man könnte sich zurücklehnen, betrifft ja US-Banken. Aber Phishing, das auf Bankkunden abzielt, ist auch in DACH an der Tagesordnung (mein SPAM-Ordner quillt regelrecht über).

Die Weebly-Kampagne zeigt exemplarisch, wie Bedrohungsakteure vermehrt legitime Plattformen nutzen, um kostengünstige und effektive Phishing-Kampagnen in großem Maßstab umzusetzen. Für kleine und mittelgroße Finanzinstitute unterstreichen die Erkenntnisse die Dringlichkeit früher Erkennung und schneller Reaktionsfähigkeit. DNS-Monitoring spielt eine zentrale Rolle bei der Identifikation von Phishing-Seiten auf Subdomains, da diese oft nur über DNS-Einträge auffindbar sind. Eine zeitnahe Abschaltung bösartiger Domains ist entscheidend – Institute, die zögern, werden häufiger zum Ziel wiederholter Angriffe.

Auch wenn sich die aktuelle Kampagne auf US-Banken konzentriert, lassen sich die eingesetzten Taktiken problemlos übertragen. Banken und Finanzinstitute in Deutschland und ganz Europa sind ähnlichen Risiken ausgesetzt und sollten entsprechend vorbereitet sein. Die Stärkung der digitalen Risikoanalyse, die Überwachung von DNS-Aktivitäten und die Zusammenarbeit mit externen Threat-Intelligence-Diensten zur schnellen Abschaltung verdächtiger Domains können die Angriffsfläche gegenüber dieser Art von Bedrohung deutlich reduzieren. Die komplette Untersuchung von BlueVoyant finden sich in diesem Blog-Beitrag (erfordert leider eine Registrierung).

Dieser Beitrag wurde unter Cloud, Internet, Mail, Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Massives Banken-Phishing über Weebly-Plattform

  1. Blackii sagt:
    18. August 2025 um 07:38 Uhr

    Moin,

    habe heute morgen eine SMS bekommen, dass die Push App meiner Bank abläuft in einem Tag. Gab natürlich eine Webseite mit den nötigen Infos :D
    War ein Ponycode-Angriff. Die hatten in der URL lnfo geschrieben. Sah aus den ersten Blick wie ein I aus, war aber ein L.
    Das komische war, dass meien Freundin bei der selben Bank ist und auch die SMS erhalten hat. Jetzt ist die Frage, welche Shops (oder PayPal) haben wir gemeinsam, wo man eine Telefonnummer angeben muss. Oder wurde ein Dienstleister der Bank gehackt?

    MfG,
    Blackii

    Antworten
  2. eonbart sagt:
    19. August 2025 um 09:02 Uhr

    Etwas ähnliches ist letzte Woche mit Subdomains von sites.google.com passiert.
    Mehrere Kunden/Lieferanten von uns waren betroffen. Technisch war das durchaus interessant, auch wenn jeder aufmerksame User hätte erkennen müssen, was hier passiert. Aber die Aufmerksamkeit lässt halt zu wünschen übrig, wenn die Mail von einem vertrauenswürdigen Kontakt kommt, der davor schon kompromittiert wurde.

    Antworten
  3. Sebastian sagt:
    19. August 2025 um 17:28 Uhr

    Praktisch auf allen Platformen die solches Free Hosting anbieten finden sich tonnenweise Phishing Seiten, manchmal auch nur das Backend zum einsammeln der Daten oder nur das Frontend.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.