Gefälschte DHL-Paketankündigung per SMS: Betrüger-Netzwerk aufgedeckt

 „Das DHL-Paket ist im Lager angekommen und kann aufgrund unvollständiger Adressangaben nicht zugestellt werden. Bitte bestätigen Sie Ihre Adresse im Link innerhalb von 12 Stunden.“ – Solche und ähnlich formulierte SMS kennt fast jeder. Seit der Corona-Pandemie, in der Online-Sendungen massiv an Bedeutung gewonnen hatten, landeten derartige Benachrichtigungen regelmäßig auf den Mobiltelefonen. Die Bundesnetzagentur registrierte im letzten Jahr noch immer über 11.000 Beschwerdefälle wegen derlei SMS. Behörden warnen seit Jahren vor der Betrugsmasche, denn natürlich stammen diese Nachrichten nicht von dem Bonner Logistiker. Doch von wem dann?

Das haben jetzt Recherchen des Bayerischen Rundfunks (BR) und weiterer internationaler Partner:innen herausgefunden: Hinter dem Betrug soll ein professionelles Täternetzwerk aus Asien stecken.

Datenbank mit Hunderttausenden Kontakten und Betrugssoftware

Für ihre Phishing-Versuche nutzen die Täter:innen laut dem BR eine Software namens „Magic Cat“, die Websites von Unternehmen mit wenig Aufwand täuschend echt imitieren könne. Die Links zu solchen Seiten werden unter anderem in den besagten SMS versendet, mit dem Ziel, Kreditkartendaten abzugreifen. Entwickelt habe das Programm ein 24-jähriger Chinese namens Yucheng C., der sich selbst „Dracula“ nennt und die Software offenbar über Dritte für Lizenzgebühren von mehr als Hundert Dollar pro Woche vermietet. Zudem ist er Admin einer Chatgruppe, in der sich die Betrüger:innen austauschen – und manche auch den Versand der besagten SMS-Nachrichten anbieten. Etwa 70 bis 80 Prozent der Phishing-Webseiten sollen Draculas Betrugssoftware verwenden.

Darüber hinaus stieß man bei der Recherche auf eine Datenbank, in der die Kreditkartendaten von knapp 900.000 Personen zu finden sind und durch Phishing erbeutet wurden – etwa 20.000 davon sollen aus Deutschland stammen. Die Datensätze wurden in den Jahren 2023 und 2024 erhoben. Neben Dracula konnte der BR anhand der Datenbank auch einen weiteren Mittäter identifizieren. 

Ermittlungen mit Herausforderungen

Viele der Geschädigten hätten dem BR zufolge auch Geld durch die Betrugsmaschen verloren. Das Bundeskriminalamt (BKA) beobachtet die Gruppierung, Ermittlungen seien jedoch aufgrund der internationalen, teils vertragslosen polizeilichen Zusammenarbeit erschwert. Der Logistiker DHL, der durch die Betrugsmasche ebenfalls betroffen ist, äußerte sich indes nicht zum Thema Cybersicherheit. 

Update: Viele Betrugswebsites abgeschaltet

Infolge der Veröffentlichungen zur Betrugssoftware „Magic Cat“ wurden zahlreiche Betrugswebsites, die mithilfe des Programms erstellt und betrieben wurden, vom Netz genommen, meldet die Tagesschau. Der Entwickler soll abgetaucht sein. Einige Tage nach dem Bekanntwerden schrieb ein Dritthändler, der die Software in Betrugsnetzwerken vertrieben hat, in einem Telegram-Chat: „Der Boss möchte für eine Weile verschwinden. Er kann nicht kontaktiert werden.“ Einige Stunden später sei der Account von „Dracula“ bereits gelöscht worden. Ob er dies selbst oder aber Telegram es veranlasst hat, ist nicht bekannt. Die Software könne ohne neue Lizenzen nicht weiter genutzt werden. Dass derartige Betrugsversuche dauerhaft nun aufhören – damit müsse man Sicherheitsexperten zufolge jedoch nicht rechnen.

Artikelbild: http://www.depositphotos.com