Thought Leadership
Das „Phoenix System“ ist eine PhaaS-Plattform für massenhaftes Smishing mit Echtzeit-MFA-Umgehung und über 2.500 Phishing-Domains weltweit.
Cyberkriminelle professionalisieren ihre Methoden zunehmend durch industrielle Automatisierung. Experten von Group-IB haben eine zentrale Phishing-as-a-Service-Plattform (PhaaS) identifiziert, die großflächige Smishing-Kampagnen (SMS-Phishing) in den Regionen APAC, Europa, LATAM und MEA steuert. Das Herzstück dieser Operation ist das sogenannte „Phoenix System“, ein hochentwickeltes Phishing-Kit inklusive Administrationspanel, das es Angreifern ermöglicht, gezielte Angriffe auf Banken, Telekommunikationsanbieter und Logistikunternehmen zu starten.
Eine Plattform für globale Betrugsszenarien
Die Untersuchung zeigt, dass das „Phoenix System“ seit Januar 2025 für mehr als 2.500 Phishing-Domains verantwortlich ist. Dabei werden vor allem zwei Betrugsmaschen bedient:
- Prämienpunkte-Betrug: Hierbei werden Banken und Mobilfunkanbieter imitiert, um Nutzer zur Preisgabe von Kreditkartendaten unter dem Vorwand der Punkte-Einlösung zu bewegen.
- Paketzustellungs-Betrug: Im Namen von Logistikfirmen werden Opfer dazu aufgefordert, Adressdaten zu aktualisieren und kleine Gebühren für eine vermeintliche Neuzustellung zu zahlen.
Die Studie belegt, dass diese scheinbar isolierten Kampagnen dasselbe Backend nutzen. Damit wird das Ausmaß der Zentralisierung im Bereich der Cyberkriminalität deutlich.
Echtzeit-Überwachung und Umgehung der Multi-Faktor-Authentifizierung
Eine der gefährlichsten Funktionen des „Phoenix Systems“ ist die Fähigkeit zur Live-Phishing-Intervention. Das Administrationspanel erlaubt es den Angreifern, die Opfer während einer aktiven Sitzung in Echtzeit zu überwachen. Sobald ein Nutzer einen Einmal-Passcode (OTP) eingibt, kann der Angreifer diesen sofort abgreifen und nutzen, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen.
Zusätzlich nutzt die Plattform fortschrittliche Techniken zur Erkennungsvermeidung:
- Geofencing und IP-Filterung: Phishing-Seiten sind nur für Nutzer aus bestimmten geografischen Regionen erreichbar.
- Crawler-Blocking: Automatisierte Sicherheitsscanner werden systematisch blockiert, um die Infrastruktur vor Entdeckung zu schützen.
- Geräte-Profiling: Die Inhalte werden spezifisch auf das Betriebssystem des Opfers (iOS oder Android) angepasst.
Evolution der Zustellwege: Von SMS zu Rogue-Basisstationen
Während herkömmliches Smishing oft über gewöhnliche Mobilfunknummern erfolgt, beobachten die Forscher eine technische Weiterentwicklung. Angreifer nutzen zunehmend Rogue Base Transceiver Stations (BTS), also gefälschte Mobilfunkmasten. Diese senden stärkere Signale als legitime Masten aus und zwingen Mobilgeräte in der Nähe, sich mit ihnen zu verbinden. Dadurch können SMS-Nachrichten unter vertrauenswürdigen Markennamen direkt in das Gerät injiziert werden, ohne die Filter der offiziellen Telekommunikationsanbieter zu passieren.
Das Geschäftsmodell hinter dem „Phoenix System“
Der Vertrieb des Phishing-Kits erfolgt über spezialisierte Telegram-Kanäle. Die Plattform wird als Abonnementmodell angeboten, wobei der Zugang etwa 2.000 US-Dollar pro Jahr kostet. In diesem Paket sind nicht nur die technischen Skripte enthalten, sondern auch Onboarding-Anleitungen und technischer Support.
Analysen des Quellcodes ergaben, dass „Phoenix“ (不死鳥系統) eine direkte Weiterentwicklung des älteren, mittlerweile abgeschalteten „Mouse Systems“ (耗子系統) ist. Kernarchitektur und Logik wurden übernommen und um moderne Funktionen zur Echtzeit-Interaktion erweitert.
| Merkmal | Phoenix System (PhaaS) |
| Zielsektoren | Finanzen, Telekommunikation, Logistik |
| Anzahl Domains | Über 2.500 seit 2025 |
| Hauptfunktionen | MFA-Bypass, Live-Monitoring, Geofencing |
| Kosten | ca. 2.000 $ / Jahr |
| Plattformen | Telegram (Vertrieb), Web-Backend (Steuerung) |
Empfehlung für Unternehmen
Das Aufkommen von Plattformen wie dem „Phoenix System“ senkt die Einstiegshürde für Cyberkriminelle enorm. Smishing wird so zu einem skalierbaren, abonnementbasierten Geschäftsmodell mit globaler Reichweite.
Group-IB empfiehlt Unternehmen, kontinuierliche Monitoring-Lösungen für Markenmissbrauch einzusetzen und proaktiv neu registrierte Domains zu tracken. Individuelle Nutzer sollten gegenüber SMS-Nachrichten, die künstliche Dringlichkeit erzeugen, äußerst skeptisch sein und niemals sensible Daten über Links in Kurznachrichten eingeben. Offizielle Apps oder Webseiten der Anbieter sind stets der sicherste Weg zur Verifizierung von Benachrichtigungen.
