Die Masche ist so alt wie bekannt – und trotzdem erfolgreich: Auf dem Smartphone erscheint eine Nachricht, etwa mutmaßlich von DHL zu einem Paket. Um das abzuholen, müssten erst noch Gebühren entrichtet werden. Der Klick auf den Link in der Nachricht führt zu einer täuschend echt aussehenden Webseite des genannten Unternehmens, und dort soll man seine Kreditkarten eingeben. Wer das tut, sitzt in der Falle: Es geht nämlich weder um ein Paket noch um den geforderten Kleinbetrag, sondern nur um die Daten der Kredit- oder Bankkarte. Diese Informationen nutzen Kriminelle, um auf Kosten ihrer Opfer einkaufen zu gehen.
Dahinter steckt, wie eine internationale Recherche des Bayerischen Rundfunks (BR), des norwegischen Fernsehsenders NRK und der französischen Tageszeitung Le Monde nun aufgedeckt hat, ein arbeitsteilig organisiertes Netzwerk von Cyberkriminellen. Vorausgegangen war eine Analyse des Netzes und seiner Software durch das norwegische Security-Unternehmen Mnemonic. Die Sicherheitsforscher erhielten zu Anfang selbst eine gefälschte Nachricht der norwegischen Post.
Im Netzwerk der Betrüger
Schon der Link darin war ein wenig vor Untersuchungen geschützt: Er ließ sich nur über Mobilfunkverbindungen und vom Browser eines Smartphones aufrufen. Das ist leicht zu klonen, und über die Zielwebseite hangelten sich die Sicherheitsforscher durch das Netzwerk der Betrüger. Schließlich hatten sie NRK zufolge sieben Monate lang Zugriff auf interne Chats und eine Telegram-Gruppe der Phisher. Diese arbeiten mit einem Tool namens "Magic Cat", mit dem sich – auch mit Hilfe von KI – Webseiten fälschen lassen. Ihre Ergebnisse übergaben die Security-Forscher den genannten Medien, welche die Sache weiterverfolgten.
Am Ende der Recherchen führten die Spuren zu einem 24-jährigen Mann namens Yucheng C. alias "Darcula", der mutmaßlich aus China stammt. Diesen Namen hatten schon andere Sicherheitsforscher dem gesamten Netzwerk gegeben. Darcula soll selbst nicht mit Kreditkartendaten hantiert haben, sondern nur der Entwickler von Magic Cat sein. Dieses Tool wird den Angaben nach für einige hundert US-Dollar in der Woche als Software-as-a-Service an die tatsächlichen Betrüger vermietet. Über eigene Geräte-Farmen, von denen sich in der Telegram-Gruppe auch Fotos fanden, finden dann die Phishing-Versuche statt. Einige Mitglieder dort rühmen sich, mehrere Zehntausend Nachrichten am Tag verschicken zu können. Diese können per SMS, iMessage oder RCS übermittelt werden.
13 Millionen Klicks in sieben Monaten
NRK zufolge ist das Netzwerk in rund 130 Ländern aktiv, 600 Personen sollen daran beteiligt sein. 13 Millionen Mal wurde in den sieben Monaten des Beobachtungszeitraums von Ende 2023 bis Mitte 2024 auf einen der Links in den Nachrichten geklickt, und 884.000 Menschen gaben ihre Kartendaten ein. Bei einer Chance von 1:14 für einen erfolgreichen Betrug lohnt sich für die Kriminellen also offenbar auch ein hoher technischer und zeitlicher Aufwand.
Der norwegische Sender berichtet auch, dass man sich mit Magic Cat nicht besonders viel Mühe geben muss: Das Tool bietet Fälschungen der Webseiten von rund 300 Unternehmen an. NRK hat sie auch als Excel-Tabelle veröffentlicht. Darin finden sich für Deutschland DHL, die Telekom, Hermes und die Webseite für den Rundfunkbeitrag. In anderen Regionen ist auch die Fälschung von Webseiten von Banken und zahlreichen Logistikunternehmen sowie Amazon möglich. Chinesische Unternehmen und Webseiten finden sich in der Liste nicht.
BKA beobachtet, ermittelt jedoch bisher nicht
Auf Anfrage des BR sagte das Bundeskriminalamt (BKA), das Netzwerk sei seit Oktober 2024 bekannt und werde beobachtet. Konkrete Ermittlungen geben es jedoch nicht, denn: "Die Herausforderungen bei Ermittlungen gegen international agierende Phishing-Gruppierungen liegen in der internationalen, gegebenenfalls vertragslosen polizeilichen Zusammenarbeit." Den Berichten zufolge sollen die Hauptakteure sich überwiegend in Asien aufhalten und von dort aus auch operieren. DHL, das unter anderem durch Tausende Beschwerden über Phishing-SMS bei der Bundesnetzagentur wohl zu den attraktivsten Zielen in Deutschland gehört, wollte sich dem BR gegenüber "zu Fragen der Cybersicherheit" generell nicht äußern.
(nie)
English (US) ·