Gefälschte DHL-Nachrichten Kriminelle aus China stecken hinter Betrugswelle
"Das Paket kann nicht zugestellt werden" - mit solchen Textnachrichten zocken Betrüger alleine in Deutschland Zehntausende Menschen ab. Recherchen des BR und internationaler Medien identifizieren Hintermänner und zeigen ein globales Betrugssystem.
Sie posieren vor Autos mit Flügeltüren, tragen Kleidung von Luxus-Marken und feiern in teuren Nachtclubs - Betrüger gelangen an die Kreditkartendaten von Hunderttausenden Opfern weltweit und prahlen im Internet mit ihrem extravaganten Lifestyle. Dem Bayerischen Rundfunk ist es gemeinsam mit internationalen Partnermedien gelungen, mehrere Hintermänner eines der größten Phishing-Netzwerke zu enttarnen, das alleine in Deutschland hinter mutmaßlich Zehntausenden Betrugsfällen mit gefälschten Textnachrichten steckt.
Die Täter operieren von Asien aus - möglich gemacht wird ihr Betrug durch einen Drahtzieher, der sich selbst Darcula nennt, was an den Vampir erinnert. Sie verschicken millionenfach Nachrichten wie diese auf Smartphones in aller Welt: "Das DHL-Paket ist im Lager angekommen und kann aufgrund unvollständiger Adressangaben nicht zugestellt werden. Bitte bestätigen Sie Ihre Adresse im Link innerhalb von 12 Stunden." So locken sie ihre Opfer in die Falle.
BR-Reporter können die Masche detailliert rekonstruieren. Grundlage dafür ist eine Datenbank der Täter, in der sie Hunderttausende Opfer auflisten, eine Kopie der von ihnen verwendeten Betrugs-Software sowie mehr als 40.000 Nachrichten aus internen Chatgruppen in einem Messengerdienst. Die norwegische Cyber-Sicherheitsfirma Mnemonic stellte die Daten dem BR, dem norwegischen Rundfunk NRK und der französischen Zeitung Le Monde zur Verfügung. Die internationale Recherche zeigt detailliert das globale Ausmaß des Betrugs.
Betrugssoftware kopiert DHL-Webseite
Die Betrugssoftware hat den Namen "Magic Cat", magische Katze. Mit ihr lassen sich Webseiten von Unternehmen und Organisationen aus mehr als 130 Ländern mit wenigen Klicks täuschend echt imitieren. Häufig kopieren die Betrüger Seiten von Post- und Paketzustellern, aber auch Stromanbieter oder Behörden gehören zum Repertoire. Die Täter locken deutsche Opfer den Recherchen zufolge vor allem auf gefälschte DHL-Webseiten.
Sobald jemand eine gefälschte Seite aufruft, ertönt in der Software eine Computerstimme auf Chinesisch: "Ein Nutzer hat die Webseite erfolgreich aufgerufen." In Echtzeit können die Täter mitlesen, wie Nutzer ihre Daten eingeben. Die Daten werden sogar dann gespeichert, wenn der Nutzer versucht, sie zu löschen.
Ein 24-jähriger Chinese entwickelt die Software
Der Entwickler von "Magic Cat" nennt sich Darcula. In einem Messengerdienst zeigt sein Profilbild eine Katze. Darcula gibt äußerst wenig von sich preis. Doch die Recherche zeigt nun erstmals, dass mutmaßlich ein 24-jähriger Chinese namens Yucheng C. hinter der Software "Magic Cat" steckt. Dem Rechercheteam liegt ein Foto seines Ausweises vor, das einen jungen Mann mit dunklen Haaren zeigt. Dem Dokument zufolge stammt er aus der zentralchinesischen Provinz Henan. Sein aktueller Aufenthaltsort ist unklar.
In der Datenbank, die dem BR vorliegt, finden sich keine Hinweise, dass der Software-Entwickler selbst Kreditkartendaten erbeutet. Er vermietet die Betrugssoftware offenbar über Mittelsmänner an andere Täter. Wer Zugang zu "Magic Cat" erhalten möchte, muss dafür Lizenzgebühren zahlen, mehrere hundert Dollar pro Woche.
Darcula administrierte zudem einige Zeit eine Chatgruppe, in der sich viele Betrüger miteinander vernetzten. Manche Täter bieten Kurse an, um möglichst effektiv betrügen zu können. Andere versprechen, massenhaft Textnachrichten in bestimmte Länder zu schicken. Darcula bringt sie alle zusammen.
Der IT-Experte Ford Merrill, der Sicherheitsbehörden in mehreren Ländern zum Thema Betrug mittels Textnachrichten berät, sagt: Der Programmierer Darcula sei "bemerkenswert erfolgreich". Seinen Erkenntnissen zufolge setzten etwa 70 bis 80 Prozent der Phishing-Webseiten seine Betrugssoftware ein. Darcula sei einer der "produktivsten Akteure" der Szene.
Fragen der Reporter ließ der junge Chinese, der mutmaßlich hinter dem Darcula-Profil steckt, unbeantwortet. Nach den Kontaktversuchen der Reporter meldete sich eine Person, die behauptete, nicht Yucheng C. zu sein, sondern mit ihm zusammenzuarbeiten. Sie sagte, Yucheng C. entwickle die Software und verkaufe sie. Allerdings sei die Software nur zur Erstellung von Webseiten gedacht, nicht für Kreditkartenbetrug.
Harrison Sand von der norwegischen Sicherheitsfirma Mnemonic, die Darcula auf die Schliche kam, bezweifelt das: Der Zweck der Software bestehe darin, die breite Öffentlichkeit ins Visier zu nehmen und Kreditkartendaten zu stehlen. "Nach unseren Beobachtungen sehen wir keine Möglichkeit, wie diese Software für legitime Zwecke hätte verwendet werden können."
Zehntausende Opfer in Deutschland
Die Datenbank listet Betrugsopfer aus dem Zeitraum von Ende 2023 bis Sommer 2024. Eine Auswertung des BR ergab, dass in diesem Zeitraum offenbar knapp 900.000 Personen weltweit ihre Kreditkarteninformationen preisgaben.
In Deutschland tippten knapp 20.000 Personen ihre Kreditkartennummer in die gefälschten Seiten ein. Etwa 4.000 von ihnen übermittelten zusätzlich einen Verifizierungs-Code von ihrer Bank. Mit diesen Codes können Betrüger die Karten in sogenannte digitale Wallets wie "Apple Pay" und "Google Pay" hinterlegen.
Fotos aus den Chatgruppen legen nahe, dass die Täter gestohlene Kreditkarten tatsächlich zu digitalen Wallets hinzugefügt haben. Auf Bildern sind Smartphones zu sehen, auf denen mehr als ein Dutzend Karten gespeichert sind. Diese lassen sich ohne weitere PIN-Eingabe zum Bezahlen nutzen, die Opfer können so mehrmals um Geld gebracht werden.
Der BR hat mit mehr als 100 Betroffenen in Deutschland gesprochen. Viele von ihnen bestätigten, dass sie Geld durch diese Betrugsmasche verloren haben.
Aus den internen Chatgruppen geht zudem hervor, dass einige Täter eigene Zahlungsterminals nutzen. So können sie die kopierten Kreditkarten von zu Hause aus verwenden. Andere Betrüger posten nach Einkäufen in Luxus-Geschäften Fotos von Quittungen in den Chat und in sozialen Medien.
Der Täter in Bangkok
Den Reportern ist es gelungen, einen der umtriebigsten Akteure des Netzwerks um Darcula zu identifizieren. Er agiert unter dem Namen X667788X und hat offenbar Tausende Personen mit "Magic Cat" betrogen - oder daran mitgewirkt. Das geht aus der Datenbank hervor, die die Opfer listet. Zudem bringt er anderen bei, wie sie möglichst effektiv betrügen, vertreibt die Software und bietet an, Textnachrichten für andere Betrüger zu verschicken. Er prahlt damit, wie viel Geld er mit dem Betrug verdient.
Die Recherche belegt nun, dass es sich um einen jungen Mann handelt, der sich "Kris" nennt. Er stammt aus der Millionenstadt Xi'an in China. Über Monate hat er von der thailändischen Hauptstadt Bangkok aus agiert. Von dort postete er Fotos aus teuren Sushi-Restaurants und mit Lamborghinis in den sozialen Medien. Jüngst postete er wieder aus China - von einer Rennstrecke nahe Shanghai. Als BR und NRK in seinem Umfeld in Bangkok Fragen nach ihm stellen, löscht er Posts, die sein Gesicht zeigen.
In einem Chat mit den Reportern leugnet der Mann hinter dem Namen X667788X, Kris zu sein: "Ich bin X66, aber alle Informationen, die ihr gefunden habt, sind falsch." Zeitgleich löscht Kris seine verbliebenen Posts auf Instagram.
Keine Ermittlungen beim BKA
Trotz der Zehntausenden Opfer in Deutschland laufen beim Bundeskriminalamt (BKA) keine Ermittlungen gegen das Betrugsnetzwerk um Darcula und "Magic Cat". Das BKA schreibt, ihm sei die "Gruppierung Darcula" seit Oktober 2024 bekannt. Die Gruppe würde "zur Phänomenbeurteilung" laufend beobachtet. Die Behörde gibt an: "Die Herausforderungen bei Ermittlungen gegen international agierende Phishing-Gruppierungen liegen in der internationalen, gegebenenfalls vertragslosen polizeilichen Zusammenarbeit."
Der Logistikkonzern DHL, dessen Webseite von den Tätern für Betrug an Menschen in Deutschland besonders oft gefälscht wird, teilt mit: "Bitte haben Sie Verständnis dafür, dass wir uns nicht zu Fragen der Cybersicherheit äußern."
Diese Veröffentlichung ist Teil der internationalen "Darcula Unmasked"-Recherche mit Beteiligung von NRK (Norwegen), Le Monde (Frankreich) und dem Bayerischen Rundfunk.