Mit falschen DHL-Nachrichten: Täternetzwerk aus Asien soll massenhaft Kreditkartendaten erbeuten

Es soll sich um einen der größten Phishing-Ringe weltweit handeln: Ein internationales Netzwerk von Online-Betrügern greift offenbar mit gefälschten Textnachrichten massenhaft Kreditkartendaten ab und erbeutet so viel Geld.

Auch in Deutschland sollen die Täter für mutmaßlich zehntausende Betrugsfälle verantwortlich sein. Dies berichtet der Bayerische Rundfunk (BR) unter Berufung auf gemeinsame Recherchen mit dem norwegischen Rundfunk NRK und der französischen Zeitung „Le Monde“.

Die Täter operieren dem Bericht zufolge von Asien aus – möglich gemacht werde ihr Pishing-Betrug durch einen Drahtzieher, der sich selbst „Darcula“ nennt, in Anlehnung an den Vampir. Sie verschicken demnach millionenfach Nachrichten wie diese auf Smartphones in aller Welt: „Das DHL-Paket ist im Lager angekommen und kann aufgrund unvollständiger Adressangaben nicht zugestellt werden. Bitte bestätigen Sie Ihre Adresse im Link innerhalb von 12 Stunden.“ So würden die Opfer in die Falle gelockt.

Grundlage für die Recherchen war dem Bericht zufolge eine Datenbank der Täter, in der sie hunderttausende Opfer auflisten, eine Kopie der von ihnen verwendeten Betrugs-Software, sowie mehr als 40.000 Nachrichten aus internen Chatgruppen in einem Messengerdienst. Die norwegische Cyber-Sicherheitsfirma Mnemonic stellte die Daten den Medien demnach zur Verfügung.

Wie es weiter heißt, habe die Betrugs-Software den Namen „Magic Cat“ (magische Katze). Mit ihr lassen sich demnach Webseiten von Unternehmen und Organisationen aus mehr als 130 Ländern mit wenigen Klicks täuschend echt imitieren. Häufig kopierten die Betrüger Seiten von Post- und Paketzustellern, aber auch Stromanbieter oder Behörden gehören zum Repertoire. Deutsche Opfer locken die Täter den Recherchen zufolge vor allem auf gefälschte DHL-Webseiten.

Sobald jemand eine gefälschte Seite aufrufe, ertöne in der Software eine Computerstimme auf Chinesisch, so der Bericht: „Ein Nutzer hat die Webseite erfolgreich aufgerufen.“ In Echtzeit könnten die Täter mitlesen, wie Nutzer ihre Daten eingeben. Die Daten würden sogar dann gespeichert, wenn der Nutzer versucht, sie zu löschen.

Dem Bericht zufolge gibt es keine Hinweise, dass der Software-Entwickler „Dracula“ selbst Kreditkartendaten erbeutet. Bei ihm soll es sich mutmaßlich um den 24-jährigen Chinese Yucheng C. handeln. Er vermiete die Betrugs-Software offenbar über Mittelsmänner an andere Täter. Wer Zugang zu „Magic Cat“ erhalten möchte, müsse dafür Lizenzgebühren zahlen, mehrere hundert Dollar pro Woche.

Die Datenbank listet dem Bericht zufolge Betrugsopfer aus dem Zeitraum von Ende 2023 bis Sommer 2024. Eine Auswertung habe ergeben, dass in diesem Zeitraum offenbar knapp 900.000 Personen weltweit ihre Kreditkarteninformationen preisgaben.

In Deutschland tippten demnach rund 20.000 Personen ihre Kreditkartennummer in die gefälschten Seiten ein. Etwa 4000 von ihnen übermittelten zusätzlich einen Verifizierungs-Code von ihrer Bank. Mit diesen Codes können Betrüger die Karten in sogenannte digitale Wallets wie „Apple Pay“ und „Google Pay“ hinterlegen.

Keine Ermittlungen beim BKA

Fotos aus den Chatgruppen legen dem Bericht zufolge nahe, dass die Täter gestohlene Kreditkarten tatsächlich zu digitalen Wallets hinzugefügt haben. Auf Bildern seien Smartphones zu sehen, auf denen mehr als ein Dutzend Karten gespeichert seien. Diese lassen sich demnach ohne weitere PIN-Eingabe zum Bezahlen nutzen, die Opfer könnten so mehrmals um Geld gebracht werden.

Der BR gibt an, mit mehr als 100 Betroffenen in Deutschland gesprochen zu haben. Viele von ihnen bestätigten demnach, dass sie Geld durch diese Betrugsmasche verloren hätten.

Beim Bundeskriminalamt (BKA) laufen dem Bericht zufolge keine Ermittlungen gegen das Betrugsnetzwerk um „Darcula“ und „Magic Cat“. Das BKA schreibt laut BR, ihm sei die „Gruppierung Darcula“ seit Oktober 2024 bekannt. Die Gruppe würde „zur Phänomenbeurteilung“ laufend beobachtet.

Die Behörde schrieb demnach weiter: „Die Herausforderungen bei Ermittlungen gegen international agierende Phishing-Gruppierungen liegen in der internationalen, gegebenenfalls vertragslosen polizeilichen Zusammenarbeit.“

Der Logistikkonzern DHL, dessen Webseite von den Tätern für Betrug an Menschen in Deutschland besonders oft gefälscht wird, teilte dem Bericht zufolge mit: „Bitte haben Sie Verständnis dafür, dass wir uns nicht zu Fragen der Cybersicherheit äußern.“ (lem)