Untersuchung eines Phishing-Betrugs getarnt als Trading-Akademie: Von Reddit zu Missbrauchsmeldungen
Ein Junior-Sicherheitsforscher stieß auf einen Reddit-Beitrag über ein verdächtiges 'Trading-Bildungs'-Angebot, bei dem Opfer mit kleinen Swaps gelockt wurden, bevor versucht wurde, ihre Gelder abzuziehen. Ziel der Untersuchung: die Website begini.ltd zu prüfen, Beweise für ihre Infrastruktur zu sammeln und Löschverfahren einzuleiten. Verwendete Tools: Kali Linux (Nmap, FFUF), OSINT und Revoke.cash.
Das Schema ist ein klassischer Pig-Butchering-Betrug:
- Der Köder: Gefälschte Jobangebote oder 'kostenlose Schulungen'.
- Die Aufwärmphase: Kleine Beträge werden überwiesen, um Gewinne vorzutäuschen.
- Die Falle: Ein Bildschirm fordert eine Unendliche Genehmigung (ERC-20 Approve), die Betrügern unbegrenzten Zugriff auf die Token der Wallet gewährt.
Frontend-Analyse: Phishing nach Daten
Im Quellcode der Website wurde ein Registrierungsformular entdeckt:
<form class="register-form" action="send.php" method="POST">
Das Formular sendet Vor- und Nachname, Telefonnummer und Telegram-Handle unverschlüsselt per POST an send.php. Der Server antwortet mit Status 302 und einer sofortigen Weiterleitung, um die Verweildauer des Opfers auf der Seite zu minimieren.
Im Netzwerk-Tab (F12) zeigen Header wie cf-cache-status und cf-ray die Nutzung von Cloudflare an. Daten werden ohne Verschlüsselung gesammelt – ein klassischer Data Harvester.
Aktive Aufklärung: Nmap und FFUF auf Kali Linux
Wechsel zu Kali-Linux-Tools für Port-Scanning und Directory-Fuzzing.
Nmap: Ports und Dienste
Der Nmap-Befehl zeigte:
- Ports 80 (HTTP) und 443 (HTTPS) sind offen.
- Zertifikat ausgestellt von Cloudflare Inc ECC CA-3 im Februar 2026.
- Anomalien auf Ports 8080 und 8443 – mögliche Admin-Panels oder Proxies.
Banner-Grabbing zeigte 'Crypto Trading Academy 2025' – eine veraltete Vorlage im Jahr 2026.
FFUF: Directory-Fuzzing
Der FFUF-Fuzzer fand:
- success.php (200, ~5 KB) – ein 'Terminal' mit JS-Skripten für Weiterleitungen.
- PHP-Endpunkte, die ein PHP-Backend bestätigen.
- Blockierte /admin/- und /config/-Verzeichnisse (403 von Cloudflare).
Die Infrastruktur ist ein Standard-PHP-Phishing-Kit hinter Cloudflare, mit nicht standardmäßigen Ports und Anzeichen einer hastigen Einrichtung.
Einreichen einer Missbrauchsmeldung und Löschung
Ein Dossier wurde erstellt: Screenshots, Netzwerk-Logs, Nmap-/FFUF-Ergebnisse. Eine Meldung wurde an Cloudflare gesendet (Report-ID: 6d27e144bc7f8061). Eine Bestätigung des Vorfalls wurde erhalten, und die Infrastruktur begann, abgeschaltet zu werden.
Wichtige Erkenntnisse:
- Unendliche Genehmigung in ERC-20 ist der Hauptvektor für Token-Diebstahl; Berechtigungen über Revoke.cash prüfen.
- Cloudflare blockiert Phishing nicht automatisch – Missbrauchsmeldungen sind effektiv.
- Ungewöhnliche Ports (8080/8443) offenbaren oft Admin-Panels in Phishing-Kits.
- FFUF und Nmap sind ein grundlegendes Stack zum Reverse-Engineering von Betrugsinfrastrukturen.
- Veraltete Vorlagen (Jahre in Bannern) sind ein Marker für Massenkampagnen.
Empfehlungen für Middle-/Senior-Spezialisten
Bei der Prüfung ähnlicher Schemata:
- FFUF mit einer Wortliste wie common.txt für Verzeichnisse verwenden.
- Nmap mit -sC -sV für Skripte und Versionen nutzen.
- Netzwerk auf Klartext-Verkehr prüfen.
- cf-ray für die Nachverfolgung in Missbrauchsmeldungen aufzeichnen.
Die gesamten Beweise überschritten 10 MB an Screenshots und Logs, was die Reaktion des Providers beschleunigte.
— Editorial Team
Noch keine Kommentare.