Sie zeigen sich auf Social Media in Designer-Outfits, neben Luxuskarossen mit Flügeltüren und beim Feiern in exklusiven Clubs – mutmaßlich bezahlt mit dem Geld ahnungsloser Opfer. Ein internationales Netzwerk von Online-Betrügern erbeutet mit gefälschten Textnachrichten massenhaft Kreditkartendaten und macht damit Kasse. Dem Bayerischen Rundfunk und internationalen Recherchepartnern ist es nun gelungen, zentrale Akteure eines der größten Phishing-Ringe weltweit zu identifizieren – auch in Deutschland sind sie mutmaßlich für zehntausende Betrugsfälle verantwortlich.
Drahtzieher namens "Darcula"
Die Täter operieren von Asien aus – möglich gemacht wird ihr Betrug durch einen Drahtzieher, der sich selbst "Darcula" nennt, in Anlehnung an den Vampir. Sie verschicken millionenfach Nachrichten wie diese auf Smartphones in aller Welt: "Das DHL-Paket ist im Lager angekommen und kann aufgrund unvollständiger Adressangaben nicht zugestellt werden. Bitte bestätigen Sie Ihre Adresse im Link innerhalb von 12 Stunden." So locken sie ihre Opfer in die Falle.
BR-Reporter können die Masche detailliert rekonstruieren. Grundlage dafür ist eine Datenbank der Täter, in der sie hunderttausende Opfer auflisten, eine Kopie der von ihnen verwendeten Betrugs-Software, sowie mehr als 40.000 Nachrichten aus internen Chatgruppen in einem Messengerdienst. Die norwegische Cyber-Sicherheitsfirma Mnemonic stellte die Daten dem BR, dem norwegischen Rundfunk NRK und der französischen Zeitung "Le Monde" zur Verfügung. Die internationale Recherche zeigt detailliert das globale Ausmaß des Betrugs.
"Magic Cat" fälscht Webseiten
Die Betrugs-Software hat den Namen "Magic Cat", magische Katze. Mit ihr lassen sich Webseiten von Unternehmen und Organisationen aus mehr als 130 Ländern mit wenigen Klicks täuschend echt imitieren. Häufig kopieren die Betrüger Seiten von Post- und Paketzustellern, aber auch Stromanbieter oder Behörden gehören zum Repertoire. Die Täter locken deutsche Opfer den Recherchen zufolge vor allem auf gefälschte DHL-Webseiten.
Sobald jemand eine gefälschte Seite aufruft, ertönt in der Software eine Computerstimme auf Chinesisch: "Ein Nutzer hat die Webseite erfolgreich aufgerufen." In Echtzeit können die Täter mitlesen, wie Nutzer ihre Daten eingeben. Die Daten werden sogar dann gespeichert, wenn der Nutzer versucht, sie zu löschen.
"Darcula" entwickelt die Software und vernetzt die Betrüger
Der Entwickler von "Magic Cat" nennt sich "Darcula". In einem Messengerdienst zeigt sein Profilbild eine Katze. "Darcula" gibt äußerst wenig von sich Preis. Doch die Recherche zeigt nun erstmals, dass mutmaßlich ein 24-jähriger Chinese namens Yucheng C. hinter der Software "Magic Cat" steckt. Dem Rechercheteam liegt ein Foto seines Ausweises vor, das einen jungen Mann mit dunklen Haaren zeigt. Dem Dokument zufolge stammt er aus der zentralchinesischen Provinz Henan. Sein aktueller Aufenthaltsort ist unklar.
In der Datenbank, die dem BR vorliegt, finden sich keine Hinweise, dass der Software-Entwickler selbst Kreditkartendaten erbeutet. Er vermietet die Betrugs-Software offenbar über Mittelsmänner an andere Täter. Wer Zugang zu "Magic Cat" erhalten möchte, muss dafür Lizenzgebühren zahlen, mehrere hundert Dollar pro Woche. "Darcula" administrierte zudem einige Zeit eine zentrale Chatgruppe, in der sich viele Betrüger miteinander vernetzen. Manche Täter bieten Kurse an, um möglichst effektiv betrügen zu können. Andere versprechen, massenhaft Textnachrichten in bestimmte Länder zu schicken.
"Darcula" - einer der "produktivsten Akteure" der Szene
Der IT-Experte Ford Merrill, der Sicherheitsbehörden in mehreren Ländern zum Thema Betrug mittels Textnachrichten berät, sagt: Der Programmierer "Darcula" sei "bemerkenswert erfolgreich". Seinen Erkenntnissen zufolge setzten etwa 70 bis 80 Prozent der Phishing-Webseiten seine Betrugssoftware ein. Darcula sei einer der "produktivsten Akteure" der Szene.
Fragen der Reporter ließ der junge Chinese, der mutmaßlich hinter dem "Darcula"-Profil steckt, unbeantwortet. Nach den Kontaktversuchen der Reporter meldete sich eine Person, die behauptete, nicht Yucheng C. zu sein, sondern mit ihm zusammenzuarbeiten. Sie sagte, Yucheng C. entwickle die Software und verkaufe sie. Allerdings sei die Software nur zur Erstellung von Webseiten gedacht, nicht für Kreditkartenbetrug.
Harrison Sand von der norwegischen Sicherheitsfirma Mnemonic, die "Darcula" auf die Schliche kam, bezweifelt das: Der Zweck der Software bestehe darin, die breite Öffentlichkeit ins Visier zu nehmen und Kreditkartendaten zu stehlen. "Nach unseren Beobachtungen sehen wir keine Möglichkeit, wie diese Software für legitime Zwecke hätte verwendet werden können."
Hunderttausende Kreditkarten gestohlen
Die Datenbank listet Betrugsopfer aus dem Zeitraum von Ende 2023 bis Sommer 2024. Eine Auswertung des BR ergab, dass in diesem Zeitraum offenbar knapp 900.000 Personen weltweit ihre Kreditkarteninformationen preisgaben.
In Deutschland tippten rund 20.000 Personen ihre Kreditkartennummer in die gefälschten Seiten ein. Etwa 4.000 von ihnen übermittelten zusätzlich einen Verifizierungs-Code von ihrer Bank. Mit diesen Codes können Betrüger die Karten in sogenannte digitale Wallets wie "Apple Pay" und "Google Pay" hinterlegen.
Fotos aus den Chatgruppen legen nahe, dass die Täter gestohlene Kreditkarten tatsächlich zu digitalen Wallets hinzugefügt haben. Auf Bildern sind Smartphones zu sehen, auf denen mehr als ein Dutzend Karten gespeichert sind. Diese lassen sich ohne weitere PIN-Eingabe zum Bezahlen nutzen, die Opfer können so mehrmals um Geld gebracht werden.
Der BR hat mit mehr als einhundert Betroffenen in Deutschland gesprochen. Viele von ihnen bestätigten, dass sie Geld durch diese Betrugsmasche verloren haben. Aus den internen Chatgruppen geht zudem hervor, dass einige Täter eigene Zahlungsterminals nutzen. So können sie die kopierten Kreditkarten von zu Hause aus verwenden. Andere Betrüger posten nach Einkäufen in Luxus-Geschäften Fotos von Quittungen in den Chat und in sozialen Medien.
Einer der Haupttäter prahlt – und taucht ab
Den Reportern ist es gelungen, einen der umtriebigsten Akteure des Netzwerks um "Darcula" zu identifizieren. Er agiert unter dem Namen X667788X und hat offenbar tausende Personen mit "Magic Cat" betrogen – oder daran mitgewirkt. Das geht aus der Datenbank hervor, die die Opfer listet. Zudem bringt er anderen bei, wie sie möglichst effektiv betrügen, vertreibt die Software und bietet an, Textnachrichten für andere Betrüger zu verschicken. Er prahlt damit, wie viel Geld er mit dem Betrug verdient.
Die Recherche belegt nun, dass es sich um einen jungen Mann handelt, der sich "Kris" nennt. Er stammt aus der Millionenstadt Xi’an in China. Über Monate hat er von der thailändischen Hauptstadt Bangkok aus agiert. Von dort postete er Fotos aus teuren Sushi-Restaurants und mit Lamborghinis in den sozialen Medien. Jüngst postete er wieder aus China – von einer Rennstrecke nahe Shanghai. Als BR und NRK in seinem Umfeld in Bangkok Fragen nach ihm stellen, löscht er Posts, die sein Gesicht zeigen.
In einem Chat mit den Reportern leugnet der Mann hinter dem Namen X667788X, Kris zu sein: "Ich bin X66, aber alle Informationen, die ihr gefunden habt, sind falsch." Zeitgleich löscht Kris seine verbliebenen Posts auf Instagram.
Trotz vieler Opfer keine Ermittlungen beim BKA
Trotz der zehntausenden Opfer in Deutschland laufen beim Bundeskriminalamt (BKA) keine Ermittlungen gegen das Betrugsnetzwerk um "Darcula" und "Magic Cat". Das BKA schreibt, ihm sei die "Gruppierung Darcula" seit Oktober 2024 bekannt. Die Gruppe würde "zur Phänomenbeurteilung" laufend beobachtet. Die Behörde gibt an: "Die Herausforderungen bei Ermittlungen gegen international agierende Phishing-Gruppierungen liegen in der internationalen, gegebenenfalls vertragslosen polizeilichen Zusammenarbeit."
Der Logistikkonzern DHL, dessen Webseite von den Tätern für Betrug an Menschen in Deutschland besonders oft gefälscht wird, teilt mit: "Bitte haben Sie Verständnis dafür, dass wir uns nicht zu Fragen der Cybersicherheit äußern."
Diese Veröffentlichung ist Teil der internationalen "Darcula Unmasked" Recherche mit Beteiligung von NRK (Norwegen), Le Monde (Frankreich) und dem Bayerischen Rundfunk. Mehr zu diesem Thema erfahren Sie außerdem auf BR24 Radio in der Sendung "Der Funkstreifzug" am Mittwoch um 12.17 Uhr oder jetzt schon in der ARD Audiothek.
Im Video: Falsche DHL-Nachrichten - Wer dahinter steckt
Eine SMS, die angeblich von einem Paketdienst stammt, lässt viele Verbraucher in eine Falle tappen.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!