Sie zeigen sich auf Social Media in Designer-Outfits, neben Luxuskarossen mit Fl\u00fcgelt\u00fcren und beim Feiern in exklusiven Clubs \u2013 mutma\u00dflich bezahlt mit dem Geld ahnungsloser Opfer. Ein internationales Netzwerk von Online-Betr\u00fcgern erbeutet mit gef\u00e4lschten Textnachrichten massenhaft Kreditkartendaten und macht damit Kasse. Dem Bayerischen Rundfunk und internationalen Recherchepartnern ist es nun gelungen, zentrale Akteure eines der gr\u00f6\u00dften Phishing-Ringe weltweit zu identifizieren \u2013 auch in Deutschland sind sie mutma\u00dflich f\u00fcr zehntausende Betrugsf\u00e4lle verantwortlich.<\/p>\n
Die T\u00e4ter operieren von Asien aus \u2013 m\u00f6glich gemacht wird ihr Betrug durch einen Drahtzieher, der sich selbst „Darcula“ nennt, in Anlehnung an den Vampir. Sie verschicken millionenfach Nachrichten wie diese auf Smartphones in aller Welt: „Das DHL-Paket ist im Lager angekommen und kann aufgrund unvollst\u00e4ndiger Adressangaben nicht zugestellt werden. Bitte best\u00e4tigen Sie Ihre Adresse im Link innerhalb von 12 Stunden.“ So locken sie ihre Opfer in die Falle. <\/p>\n
BR-Reporter k\u00f6nnen die Masche detailliert rekonstruieren. Grundlage daf\u00fcr ist eine Datenbank der T\u00e4ter, in der sie hunderttausende Opfer auflisten, eine Kopie der von ihnen verwendeten Betrugs-Software, sowie mehr als 40.000 Nachrichten aus internen Chatgruppen in einem Messengerdienst. Die norwegische Cyber-Sicherheitsfirma Mnemonic stellte die Daten dem BR, dem norwegischen Rundfunk NRK<\/a> und der franz\u00f6sischen Zeitung „Le Monde“<\/a> zur Verf\u00fcgung. Die internationale Recherche zeigt detailliert das globale Ausma\u00df des Betrugs. <\/p>\n „Magic Cat“ f\u00e4lscht Webseiten <\/p>\n Die Betrugs-Software hat den Namen „Magic Cat“, magische Katze. Mit ihr lassen sich Webseiten von Unternehmen und Organisationen aus mehr als 130 L\u00e4ndern mit wenigen Klicks t\u00e4uschend echt imitieren. H\u00e4ufig kopieren die Betr\u00fcger Seiten von Post- und Paketzustellern, aber auch Stromanbieter oder Beh\u00f6rden geh\u00f6ren zum Repertoire. Die T\u00e4ter locken deutsche Opfer den Recherchen zufolge vor allem auf gef\u00e4lschte DHL-Webseiten. <\/p>\n Sobald jemand eine gef\u00e4lschte Seite aufruft, ert\u00f6nt in der Software eine Computerstimme auf Chinesisch: „Ein Nutzer hat die Webseite erfolgreich aufgerufen.“ In Echtzeit k\u00f6nnen die T\u00e4ter mitlesen, wie Nutzer ihre Daten eingeben. Die Daten werden sogar dann gespeichert, wenn der Nutzer versucht, sie zu l\u00f6schen. <\/p>\n „Darcula“ entwickelt die Software und vernetzt die Betr\u00fcger <\/p>\n Der Entwickler von „Magic Cat“ nennt sich „Darcula“. In einem Messengerdienst zeigt sein Profilbild eine Katze. „Darcula“ gibt \u00e4u\u00dferst wenig von sich Preis. Doch die Recherche zeigt nun erstmals, dass mutma\u00dflich ein 24-j\u00e4hriger Chinese namens Yucheng C. hinter der Software „Magic Cat“ steckt. Dem Rechercheteam liegt ein Foto seines Ausweises vor, das einen jungen Mann mit dunklen Haaren zeigt. Dem Dokument zufolge stammt er aus der zentralchinesischen Provinz Henan. Sein aktueller Aufenthaltsort ist unklar. <\/p>\n In der Datenbank, die dem BR vorliegt, finden sich keine Hinweise, dass der Software-Entwickler selbst Kreditkartendaten erbeutet. Er vermietet die Betrugs-Software offenbar \u00fcber Mittelsm\u00e4nner an andere T\u00e4ter. Wer Zugang zu „Magic Cat“ erhalten m\u00f6chte, muss daf\u00fcr Lizenzgeb\u00fchren zahlen, mehrere hundert Dollar pro Woche. „Darcula“ administrierte zudem einige Zeit eine zentrale Chatgruppe, in der sich viele Betr\u00fcger miteinander vernetzen. Manche T\u00e4ter bieten Kurse an, um m\u00f6glichst effektiv betr\u00fcgen zu k\u00f6nnen. Andere versprechen, massenhaft Textnachrichten in bestimmte L\u00e4nder zu schicken.<\/p>\n „Darcula“ – einer der „produktivsten Akteure“ der Szene<\/p>\n Der IT-Experte Ford Merrill, der Sicherheitsbeh\u00f6rden in mehreren L\u00e4ndern zum Thema Betrug mittels Textnachrichten ber\u00e4t, sagt: Der Programmierer „Darcula“ sei „bemerkenswert erfolgreich“. Seinen Erkenntnissen zufolge setzten etwa 70 bis 80 Prozent der Phishing-Webseiten seine Betrugssoftware ein. Darcula sei einer der „produktivsten Akteure“ der Szene. <\/p>\n Fragen der Reporter lie\u00df der junge Chinese, der mutma\u00dflich hinter dem „Darcula“-Profil steckt, unbeantwortet. Nach den Kontaktversuchen der Reporter meldete sich eine Person, die behauptete, nicht Yucheng C. zu sein, sondern mit ihm zusammenzuarbeiten. Sie sagte, Yucheng C. entwickle die Software und verkaufe sie. Allerdings sei die Software nur zur Erstellung von Webseiten gedacht, nicht f\u00fcr Kreditkartenbetrug. <\/p>\n Harrison Sand von der norwegischen Sicherheitsfirma Mnemonic, die „Darcula“ auf die Schliche kam, bezweifelt das: Der Zweck der Software bestehe darin, die breite \u00d6ffentlichkeit ins Visier zu nehmen und Kreditkartendaten zu stehlen. „Nach unseren Beobachtungen sehen wir keine M\u00f6glichkeit, wie diese Software f\u00fcr legitime Zwecke h\u00e4tte verwendet werden k\u00f6nnen.“ <\/p>\n Hunderttausende Kreditkarten gestohlen <\/p>\n Die Datenbank listet Betrugsopfer aus dem Zeitraum von Ende 2023 bis Sommer 2024. Eine Auswertung des BR ergab, dass in diesem Zeitraum offenbar knapp 900.000 Personen weltweit ihre Kreditkarteninformationen preisgaben. <\/p>\n In Deutschland tippten rund 20.000 Personen ihre Kreditkartennummer in die gef\u00e4lschten Seiten ein. Etwa 4.000 von ihnen \u00fcbermittelten zus\u00e4tzlich einen Verifizierungs-Code von ihrer Bank. Mit diesen Codes k\u00f6nnen Betr\u00fcger die Karten in sogenannte digitale Wallets wie „Apple Pay“ und „Google Pay“ hinterlegen. <\/p>\n Fotos aus den Chatgruppen legen nahe, dass die T\u00e4ter gestohlene Kreditkarten tats\u00e4chlich zu digitalen Wallets hinzugef\u00fcgt haben. Auf Bildern sind Smartphones zu sehen, auf denen mehr als ein Dutzend Karten gespeichert sind. Diese lassen sich ohne weitere PIN-Eingabe zum Bezahlen nutzen, die Opfer k\u00f6nnen so mehrmals um Geld gebracht werden. <\/p>\n Der BR hat mit mehr als einhundert Betroffenen in Deutschland gesprochen. Viele von ihnen best\u00e4tigten, dass sie Geld durch diese Betrugsmasche verloren haben. Aus den internen Chatgruppen geht zudem hervor, dass einige T\u00e4ter eigene Zahlungsterminals nutzen. So k\u00f6nnen sie die kopierten Kreditkarten von zu Hause aus verwenden. Andere Betr\u00fcger posten nach Eink\u00e4ufen in Luxus-Gesch\u00e4ften Fotos von Quittungen in den Chat und in sozialen Medien. <\/p>\n Einer der Hauptt\u00e4ter prahlt \u2013 und taucht ab <\/p>\n Den Reportern ist es gelungen, einen der umtriebigsten Akteure des Netzwerks um „Darcula“ zu identifizieren. Er agiert unter dem Namen X667788X und hat offenbar tausende Personen mit „Magic Cat“ betrogen \u2013 oder daran mitgewirkt. Das geht aus der Datenbank hervor, die die Opfer listet. Zudem bringt er anderen bei, wie sie m\u00f6glichst effektiv betr\u00fcgen, vertreibt die Software und bietet an, Textnachrichten f\u00fcr andere Betr\u00fcger zu verschicken. Er prahlt damit, wie viel Geld er mit dem Betrug verdient. <\/p>\n Die Recherche belegt nun, dass es sich um einen jungen Mann handelt, der sich „Kris“ nennt. Er stammt aus der Millionenstadt Xi\u2019an in China. \u00dcber Monate hat er von der thail\u00e4ndischen Hauptstadt Bangkok aus agiert. Von dort postete er Fotos aus teuren Sushi-Restaurants und mit Lamborghinis in den sozialen Medien. J\u00fcngst postete er wieder aus China \u2013 von einer Rennstrecke nahe Shanghai. Als BR und NRK in seinem Umfeld in Bangkok Fragen nach ihm stellen, l\u00f6scht er Posts, die sein Gesicht zeigen. <\/p>\n In einem Chat mit den Reportern leugnet der Mann hinter dem Namen X667788X, Kris zu sein: „Ich bin X66, aber alle Informationen, die ihr gefunden habt, sind falsch.“ Zeitgleich l\u00f6scht Kris seine verbliebenen Posts auf Instagram. <\/p>\n Trotz vieler Opfer keine Ermittlungen beim BKA<\/p>\n Trotz der zehntausenden Opfer in Deutschland laufen beim Bundeskriminalamt (BKA) keine Ermittlungen gegen das Betrugsnetzwerk um „Darcula“ und „Magic Cat“. Das BKA schreibt, ihm sei die „Gruppierung Darcula“ seit Oktober 2024 bekannt. Die Gruppe w\u00fcrde „zur Ph\u00e4nomenbeurteilung“ laufend beobachtet. Die Beh\u00f6rde gibt an: „Die Herausforderungen bei Ermittlungen gegen international agierende Phishing-Gruppierungen liegen in der internationalen, gegebenenfalls vertragslosen polizeilichen Zusammenarbeit.“ <\/p>\n Der Logistikkonzern DHL, dessen Webseite von den T\u00e4tern f\u00fcr Betrug an Menschen in Deutschland besonders oft gef\u00e4lscht wird, teilt mit: „Bitte haben Sie Verst\u00e4ndnis daf\u00fcr, dass wir uns nicht zu Fragen der Cybersicherheit \u00e4u\u00dfern.“ <\/p>\n Diese Ver\u00f6ffentlichung ist Teil der internationalen „Darcula Unmasked“ Recherche mit Beteiligung von NRK (Norwegen)<\/a>, Le Monde (Frankreich)<\/a> und dem Bayerischen Rundfunk. Mehr zu diesem Thema erfahren Sie au\u00dferdem auf BR24 Radio in der Sendung „Der Funkstreifzug“ <\/a>am Mittwoch um 12.17 Uhr oder jetzt schon in der ARD Audiothek.<\/p>\n","protected":false},"excerpt":{"rendered":"Sie zeigen sich auf Social Media in Designer-Outfits, neben Luxuskarossen mit Fl\u00fcgelt\u00fcren und beim Feiern in exklusiven Clubs…\n","protected":false},"author":2,"featured_media":83209,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[19380,13,14,15,19845,34903,12,34904,34905,10,8,9,11],"class_list":{"0":"post-83208","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-nachrichten","8":"tag-bundeskriminalamt","9":"tag-headlines","10":"tag-nachrichten","11":"tag-news","12":"tag-phishing","13":"tag-rundschau","14":"tag-schlagzeilen","15":"tag-smishing","16":"tag-sms-phishing","17":"tag-top-news","18":"tag-top-meldungen","19":"tag-topmeldungen","20":"tag-topnews"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/114448513556545248","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/83208","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=83208"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/83208\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/83209"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=83208"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=83208"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=83208"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}