Massives Banken-Phishing über Weebly-Plattform enthüllt

Weebly ist eigentlich ein Werkzeug für Selbstständige, Start-ups und kleine Unternehmen, um ohne Programmierkenntnisse Websites zu erstellen. Doch genau diese Nutzerfreundlichkeit macht die Plattform für Angreifer besonders attraktiv. Statt Online-Shops oder Portfolios entstehen hier täuschend echte Bank-Webseiten – mit echten Logos, vertrauten Farben und offiziellen Namen.

Die Angreifer nutzen gezielt die Subdomain-Struktur von Weebly (etwa bankname.weebly.com), um vertrauenswürdige URLs vorzutäuschen. So können sie klassische Sicherheitsmechanismen in Mailfiltern und Browsern austricksen – und ihre Opfer mit hoher Trefferquote täuschen.

Phishing nach Bauplan – skalierbar und schnell

Besonders bedenklich ist der industrielle Charakter der Kampagne: Die Täter arbeiten mit Templates, also vorgefertigten Layouts, in die sie lediglich die Markenkennzeichen der Zielbank einfügen müssen. Innerhalb von Minuten entsteht so eine neue Phishing-Seite. Das Sicherheitsunternehmen BlueVoyant, welches das das Vorgehen untersucht hat, zeigt in einer Simulation: Die vollständige Erstellung einer betrügerischen Bank-Website dauert oft weniger als eine Stunde.

Die massive Automatisierung senkt die Einstiegshürden erheblich. Es braucht keine eigene Serverinfrastruktur, keine eigene Domain – nur ein Weebly-Account und ein paar Handgriffe.

Derzeitiges Ziel: Kleine und mittelgroße Banken in den Vereinigten Staaten

Mehr als 200 US-Institute waren betroffen, darunter vor allem kleinere Regionalbanken und Kreditgenossenschaften. Die Angriffe zeigten regionale Muster: Banken in Maine, New York und Vermont wurden auffällig häufig imitiert. BlueVoyant geht davon aus, dass die Täter mit fein säuberlich kuratierten Ziellisten arbeiten und sich auf Regionen konzentrieren, in denen kleinere Institute über weniger ausgereifte Sicherheits- und Reaktionsprozesse verfügen.

Diese gezielte Auswahl ist kein Zufall: Kleinere Institute haben oft weniger Ressourcen, um Phishing-Inhalte schnell erkennen und entfernen zu lassen – eine Schwäche, die gezielt ausgenutzt wird.

Testangriffe mit Lerneffekt

Ein bemerkenswerter Aspekt: Viele Banken wurden zunächst mit nur einer Phishing-Seite attackiert. Die Vermutung: Die Angreifer wollten testen, wie schnell das jeweilige Institut auf die Bedrohung reagiert. Dort, wo Takedown-Maßnahmen zügig erfolgten, blieben weitere Angriffe aus. Institute mit langsamer Reaktionszeit hingegen wurden wiederholt zur Zielscheibe.

Ein Fallbeispiel: Eine kleinere Bank mit rund 200 Millionen US-Dollar Vermögen wurde mehrfach mit gefälschten Seiten konfrontiert – ihre erste Fake-Website blieb über Monate online. Eine größere Bank hingegen, die schnell reagierte, blieb verschont.

Plattformen mit Subdomain-Hosting im Visier

Zwar konzentrierte sich die nun aufgedeckte Kampagne auf Weebly, doch das Prinzip lässt sich problemlos auf andere Plattformen mit ähnlicher Architektur übertragen – etwa Wix, WordPress.com oder Webflow. Diese Systeme erlauben es Nutzern, eigene Subdomains zu erstellen und Inhalte nahezu ohne Kontrolle zu veröffentlichen.

Gerade weil viele dieser Plattformen aus dem Business-Kontext stammen, genießen sie hohe Vertrauenswerte bei Endnutzern – und durchlaufen oft nur oberflächliche Sicherheitsprüfungen durch Mailgateways oder Antivirenprogramme. Für Angreifer ein doppelter Vorteil.

Was deutsche Banken daraus lernen müssen

Die aktuelle Kampagne ist ein Weckruf – auch für Banken und Sparkassen in Deutschland, Österreich und der Schweiz. Denn die Taktiken lassen sich leicht übertragen. Für Angreifer spielt es keine Rolle, ob das Ziel eine Bank in Vermont oder eine Genossenschaft in Bayern ist – entscheidend ist die fehlende Reaktionsgeschwindigkeit beim Erkennen und Entfernen gefälschter Inhalte.

Wichtige Maßnahmen umfassen:

• Proaktives DNS-Monitoring: Phishing-Seiten auf Subdomains sind oft nur über DNS-Einträge sichtbar, nicht über klassische URL-Filter.
• Enge Zusammenarbeit mit Hosting-Diensten: Schnelle Abschaltungen lassen sich nur durch direkte Kommunikationskanäle erreichen.
• Frühwarnsysteme durch Threat Intelligence: Frühzeitige Hinweise auf gefälschte Domains oder bekannte Templates können Schaden minimieren.
• Sensibilisierung der Kundschaft: Endnutzer müssen Bank-URLs kritisch hinterfragen – auch wenn sie auf den ersten Blick legitim wirken.

Fazit: Die Plattform ist Teil des Angriffs

Die Weebly-Kampagne zeigt exemplarisch, wie leicht sich legitime Infrastrukturen für Cyberangriffe zweckentfremden lassen – vor allem, wenn Automatisierung und gut durchdachte Taktiken auf träge Gegenmaßnahmen treffen. Die Zukunft des Phishings liegt nicht mehr nur im hinterhältigen E-Mail-Inhalt – sondern zunehmend in der missbrauchten Plattform selbst.

Der vollständige Bericht von BlueVoyant mit technischen Details, Screenshots und Handlungsempfehlungen ist hier abrufbar.