Gefälschte DHL-Nachrichten Entwickler von Betrugssoftware abgetaucht
Kriminelle haben mit einer Betrugssoftware Hunderttausende Kreditkartendaten abgegriffen, auch in Deutschland. Nachdem der BR und andere Medien darüber berichteten, verschwand der Entwickler. Viele Betrugswebseiten sind offline.
Ein kriminelles Netzwerk, das mutmaßlich hinter hunderttausendfachem Kreditkartenbetrug mit gefälschten Webseiten steckt, hat seine Aktivitäten stark reduziert. Anfang Mai hatte der Bayerische Rundfunk mit dem norwegischen Rundfunk NRK und der französischen Zeitung Le Monde die kriminellen Strukturen offengelegt. Nach der Veröffentlichung wurden viele Betrugswebseiten abgeschaltet, wie Recherchen zeigen. Der mutmaßliche Entwickler der eingesetzten Software, der unter dem Decknamen "Darcula" agiert, tauchte ab.
Die Betrugssoftware namens "Magic Cat" ermöglicht es Kriminellen, Webseiten von Paketdiensten, Telekommunikationsanbietern oder Behörden täuschend echt nachzubauen. Ein internationales Netzwerk mit chinesischen Cyberkriminellen setzt "Magic Cat" ein, um in großem Stil Kreditkartendaten von Menschen auf der ganzen Welt abzugreifen.
In Deutschland nutzen die Täter vor allem gefälschte DHL-Webseiten, um an Kreditkartendaten zu gelangen. Dorthin locken sie ihre Opfer mit Textnachrichten, die sie auf Smartphones verschicken: Angeblich kann eine Sendung nicht zugestellt werden. Durch den Einsatz von "Magic Cat" erbeuteten Kriminelle in einem Zeitraum von sieben Monaten Kreditkarteninformationen von knapp 900.000 Personen, 20.000 davon in Deutschland.
"Der Boss möchte für eine Weile verschwinden"
Eine mutmaßliche Schlüsselfigur ist jetzt offenbar von der Bildfläche verschwunden: Die Person mit dem Namen "Darcula". Die Reporter hatten einen 24-jährigen Mann aus der Provinz Henan in China mit dem Namen Yucheng C. als mutmaßlichen Entwickler von "Magic Cat" identifiziert.
Als "Darcula" soll er die Software über Mittelsmänner an Kriminelle vermietet haben. Auf Anfragen der Reporter per E-Mail, Telefon und Chatnachrichten reagierte er nicht. Inzwischen ist eine von ihm genutzte E-Mail-Adresse deaktiviert.
Auf Telegram ging "Darcula" kurz nach einem ersten Kontaktversuch durch Reporter Ende April offline. Die Recherchen von NRK, Le Monde und BR erschienen Anfang Mai. "Der Boss möchte für eine Weile verschwinden", schrieb ein Nutzer, der zuletzt als Händler der Software agiert hatte, drei Tage nach der Veröffentlichung in einem Chat. "Er kann nicht kontaktiert werden."
Wenige Stunden später wurde der Account von "Darcula" gelöscht. Es ist unklar, ob der Account von seinem Betreiber entfernt wurde oder durch die Plattform Telegram. Telegram ließ eine entsprechende Anfrage dazu inhaltlich unbeantwortet.
65 Prozent weniger Betrugsseiten online
Etwa eine Woche nach der ersten Kontaktaufnahme der Reporter zu "Darcula" gab es in einer internen Telegram-Gruppe den Hinweis, dass keine neuen "Magic Cat"-Lizenzen mehr verkauft werden. In der Regel vergeben die Verkäufer diese Lizenzen für eine Woche oder einen Monat. Zwei der Händler gaben an, "Magic Cat" derzeit nicht anbieten zu können.
Harrison Sand von der norwegischen IT-Firma Mnemonic, die den Medien umfangreiches Material zu "Magic Cat" und "Darcula" zur Verfügung gestellt hatte, erklärt, ohne neue Lizenzen sei es nicht möglich, die Software weiter zu nutzen.
Die britische Sicherheitsfirma Netcraft, die betrügerische Internetseiten beobachtet, stellt fest: Die Anzahl der Webseiten, die "Magic Cat" einsetzen, ging zuletzt um 65 Prozent zurück. Ob die Software dauerhaft verschwunden ist, sei aber noch unklar. "Ich würde nicht damit rechnen, dass die Aktivitäten einfach aufhören", sagt Robert Duncan von Netcraft.