Internationale Recherche Gefälschte DHL-Nachrichten: Global agierendes Täternetzwerk enttarnt
Eine Betrugswelle hat bereits weltweit hunderttausende Opfer getroffen. Hinter den gefälschten DHL-Nachrichten steht ein internationales Netzwerk.
Ein internationales Rechercheteam hat ein globales Phishing-Netzwerk enttarnt, das für Hunderttausende Betrugsfälle mit gefälschten SMS-Nachrichten verantwortlich ist. Wie der Bayerische Rundfunk (BR) berichtet, verschicken die Betrüger millionenfach Textnachrichten, die angeblich von Paketdiensten wie DHL stammen. Der Inhalt suggeriert, dass ein Paket nicht zugestellt werden konnte und Gebühren zu entrichten seien oder die Adresse bestätigt werden müsse.
Hinter der Betrugsmasche steht ein 24-jähriger Chinese namens Yucheng C., der sich selbst "Darcula" nennt. Er hat die Software "Magic Cat" entwickelt, mit der sich Webseiten von Unternehmen täuschend echt kopieren lassen. Der Programmierer gilt laut IT-Experte Ford Merrill als "bemerkenswert erfolgreich". Laut seinen Erkenntnissen nutzen etwa 70 bis 80 Prozent der Phishing-Webseiten die Betrugssoftware von Darcula, was ihn zu einem der "produktivsten Akteure" der Szene macht.
Die Recherche basiert auf umfangreichen Daten, die die norwegische Cyber-Sicherheitsfirma Mnemonic dem BR, dem norwegischen Rundfunk NRK und der französischen Zeitung "Le Monde" zur Verfügung stellte. Den Medien lagen eine Datenbank der Täter mit Hunderttausenden Opfern, eine Kopie der Betrugssoftware sowie mehr als 40.000 Nachrichten aus internen Chatgruppen vor.
Die Täter können ihre Opfer in Echtzeit verfolgen
Die Software "Magic Cat" ermögliche es, Webseiten von Unternehmen und Organisationen aus mehr als 130 Ländern mit wenigen Klicks zu imitieren. Dem Bericht zufolge werden besonders häufig Seiten von Post- und Paketzustellern gefälscht – in Deutschland sei hauptsächlich die DHL betroffen. Sobald ein Nutzer eine gefälschte Seite aufruft, ertönt in der Software eine chinesische Computerstimme: "Ein Nutzer hat die Webseite erfolgreich aufgerufen." Die Täter können in Echtzeit verfolgen, wie Opfer ihre Daten eingeben – selbst wenn diese versuchen, ihre Eingaben zu löschen.
Die Auswertung der Datenbank ergab, dass zwischen Ende 2023 und Sommer 2024 weltweit knapp 900.000 Personen ihre Kreditkarteninformationen auf den gefälschten Webseiten preisgaben. In Deutschland waren es rund 20.000 Menschen, von denen etwa 4.000 zusätzlich einen Verifizierungs-Code ihrer Bank übermittelten. Mit diesen Codes können die Betrüger die gestohlenen Kreditkarteninformationen in digitale Wallets wie Apple Pay und Google Pay hinterlegen und ohne weitere PIN-Eingabe zum Bezahlen nutzen.
Darcula selbst erbeutet laut den vorliegenden Daten keine Kreditkartendaten, sondern vermietet seine Software für mehrere hundert Dollar pro Woche an andere Täter. Er administrierte zudem zeitweise eine zentrale Chatgruppe, in der sich die Betrüger vernetzen konnten. Dort werden unter anderem Kurse angeboten, um noch effektiver betrügen zu können.
BKA hat keine Ermittlungen eingeleitet
Den Recherchen gelang es auch, einen der aktivsten Akteure des Netzwerks zu identifizieren – einen jungen Mann, der sich "Kris" nennt und unter dem Namen X667788X agiert. Er stammt aus der chinesischen Stadt Xi'an und hat über Monate von Bangkok aus operiert. In sozialen Medien prahlte er mit seinem Luxusleben, postete Fotos aus teuren Restaurants und mit Lamborghinis.
Der mutmaßliche Darcula-Drahtzieher Yucheng C. reagierte auf die Kontaktversuche der Reporter nicht persönlich. Stattdessen meldete sich eine Person, die behauptete, mit ihm zusammenzuarbeiten. Diese Person erklärte, die Software sei lediglich zur Erstellung von Webseiten gedacht, nicht für Kreditkartenbetrug. Harrison Sand von der Sicherheitsfirma Mnemonic widerspricht dieser Darstellung: "Nach unseren Beobachtungen sehen wir keine Möglichkeit, wie diese Software für legitime Zwecke hätte verwendet werden können." Der Zweck bestehe eindeutig darin, die breite Öffentlichkeit ins Visier zu nehmen und Kreditkartendaten zu stehlen.
Trotz der Zehntausenden Opfer in Deutschland führt das Bundeskriminalamt (BKA) keine aktiven Ermittlungen gegen das Betrugsnetzwerk. Das BKA teilte mit, die Gruppierung Darcula sei seit Oktober 2024 bekannt und werde "zur Phänomenbeurteilung" laufend beobachtet. Als Herausforderung nannte die Behörde "die internationale, gegebenenfalls vertragslose polizeiliche Zusammenarbeit" bei Ermittlungen gegen international agierende Phishing-Gruppierungen.
