Zurück zur Startseite

Phishing-Untersuchung begini.ltd mit Nmap FFUF

Sicherheitsforscher zerlegt Phishing-Schema begini.ltd: von Pig Butchering mit Infinite Approval bis Nmap/FFUF-Scanning. Entdeckte PHP-Endpunkte, nicht standard Ports und Cloudflare. Abuse-Report führte zur Infrastrukturblockierung.

Phishing-Enthüllung: von Reddit bis Cloudflare-Blockierung
Advertisement 728x90

Untersuchung eines Phishing-Betrugs getarnt als Trading-Akademie: Von Reddit zu Missbrauchsmeldungen

Ein Junior-Sicherheitsforscher stieß auf einen Reddit-Beitrag über ein verdächtiges 'Trading-Bildungs'-Angebot, bei dem Opfer mit kleinen Swaps gelockt wurden, bevor versucht wurde, ihre Gelder abzuziehen. Ziel der Untersuchung: die Website begini.ltd zu prüfen, Beweise für ihre Infrastruktur zu sammeln und Löschverfahren einzuleiten. Verwendete Tools: Kali Linux (Nmap, FFUF), OSINT und Revoke.cash.

Das Schema ist ein klassischer Pig-Butchering-Betrug:

  • Der Köder: Gefälschte Jobangebote oder 'kostenlose Schulungen'.
  • Die Aufwärmphase: Kleine Beträge werden überwiesen, um Gewinne vorzutäuschen.
  • Die Falle: Ein Bildschirm fordert eine Unendliche Genehmigung (ERC-20 Approve), die Betrügern unbegrenzten Zugriff auf die Token der Wallet gewährt.

Frontend-Analyse: Phishing nach Daten

Im Quellcode der Website wurde ein Registrierungsformular entdeckt:

Google AdInline article slot
<form class="register-form" action="send.php" method="POST">

Das Formular sendet Vor- und Nachname, Telefonnummer und Telegram-Handle unverschlüsselt per POST an send.php. Der Server antwortet mit Status 302 und einer sofortigen Weiterleitung, um die Verweildauer des Opfers auf der Seite zu minimieren.

Im Netzwerk-Tab (F12) zeigen Header wie cf-cache-status und cf-ray die Nutzung von Cloudflare an. Daten werden ohne Verschlüsselung gesammelt – ein klassischer Data Harvester.

Aktive Aufklärung: Nmap und FFUF auf Kali Linux

Wechsel zu Kali-Linux-Tools für Port-Scanning und Directory-Fuzzing.

Google AdInline article slot

Nmap: Ports und Dienste

Der Nmap-Befehl zeigte:

  • Ports 80 (HTTP) und 443 (HTTPS) sind offen.
  • Zertifikat ausgestellt von Cloudflare Inc ECC CA-3 im Februar 2026.
  • Anomalien auf Ports 8080 und 8443 – mögliche Admin-Panels oder Proxies.

Banner-Grabbing zeigte 'Crypto Trading Academy 2025' – eine veraltete Vorlage im Jahr 2026.

FFUF: Directory-Fuzzing

Der FFUF-Fuzzer fand:

Google AdInline article slot
  • success.php (200, ~5 KB) – ein 'Terminal' mit JS-Skripten für Weiterleitungen.
  • PHP-Endpunkte, die ein PHP-Backend bestätigen.
  • Blockierte /admin/- und /config/-Verzeichnisse (403 von Cloudflare).

Die Infrastruktur ist ein Standard-PHP-Phishing-Kit hinter Cloudflare, mit nicht standardmäßigen Ports und Anzeichen einer hastigen Einrichtung.

Einreichen einer Missbrauchsmeldung und Löschung

Ein Dossier wurde erstellt: Screenshots, Netzwerk-Logs, Nmap-/FFUF-Ergebnisse. Eine Meldung wurde an Cloudflare gesendet (Report-ID: 6d27e144bc7f8061). Eine Bestätigung des Vorfalls wurde erhalten, und die Infrastruktur begann, abgeschaltet zu werden.

Wichtige Erkenntnisse:

  • Unendliche Genehmigung in ERC-20 ist der Hauptvektor für Token-Diebstahl; Berechtigungen über Revoke.cash prüfen.
  • Cloudflare blockiert Phishing nicht automatisch – Missbrauchsmeldungen sind effektiv.
  • Ungewöhnliche Ports (8080/8443) offenbaren oft Admin-Panels in Phishing-Kits.
  • FFUF und Nmap sind ein grundlegendes Stack zum Reverse-Engineering von Betrugsinfrastrukturen.
  • Veraltete Vorlagen (Jahre in Bannern) sind ein Marker für Massenkampagnen.

Empfehlungen für Middle-/Senior-Spezialisten

Bei der Prüfung ähnlicher Schemata:

  • FFUF mit einer Wortliste wie common.txt für Verzeichnisse verwenden.
  • Nmap mit -sC -sV für Skripte und Versionen nutzen.
  • Netzwerk auf Klartext-Verkehr prüfen.
  • cf-ray für die Nachverfolgung in Missbrauchsmeldungen aufzeichnen.

Die gesamten Beweise überschritten 10 MB an Screenshots und Logs, was die Reaktion des Providers beschleunigte.

— Editorial Team

Advertisement 728x90

Weiterlesen