BR24 Logo | Startseite öffnen
BR24 Logo | Startseite öffnen
Deutschland & Welt
Deutschland & Welt
Kriminelle Netzwerke verschicken Phishing-SMS inzwischen millionenfach.
Bildrechte: BR

Nachgebaute Handywall - so können die Scammer automatisiert Phishing-Nachrichten verschicken.

Per Mail sharen
Artikel mit Audio-InhaltenAudiobeitrag
Home Icon >

Betrug per SMS – Wie Cyber-Kriminelle in China Schutz finden

Betrug per SMS – Wie Cyber-Kriminelle in China Schutz finden

Hunderttausende Menschen fallen weltweit auf gefälschte Paket-SMS herein, verschickt von einem Betrugs-Netzwerk. Neue BR-Recherchen zeigen: Die Täter agieren aus China – offenbar unbehelligt von den Behörden.

Von
Arne Meyer-Fünffinger
Arne Meyer-Fünffinger
Sammy Khamis
Sammy Khamis
Alexander Nabert
Alexander Nabert
Lena Walbrunn
Lena Walbrunn
Julia Schweinberger
Julia Schweinberger

Über dieses Thema berichtet: Der Funkstreifzug am .

Als Christopher Bergmann diese SMS bekommt, hält er sie für echt: "Das DHL-Paket kann nicht zugestellt werden". Der Grundschullehrer aus Berlin erwartet tatsächlich ein Paket. In der Nachricht steckt ein Link zu einer angeblichen DHL-Seite. Eine kleine Zusatzgebühr solle noch bezahlt werden. Bergmann trägt seine Kreditkartendaten ein. Später buchen Betrüger ihm knapp 250 Euro ab. In anderen Fällen räumen die Täter gleich das ganze Konto leer.

Es ist eine globale Betrugsmasche mit hunderttausenden Opfern. Hinter der gefälschten DHL-Seite steht ein Netzwerk von Kriminellen, das sich "Darcula" nennt. Um die Seiten zu fälschen, nutzen sie eine chinesische Software namens "Magic Cat". Wie ungehindert die Betrüger von der Volksrepublik aus agieren können, zeigen neue Recherchen des BR gemeinsam mit dem norwegischen Rundfunk NRK und Le Monde aus Frankreich.

IP-Adressen führen nach China und Hongkong

Die drei Medien analysierten eine Datenbank, die mit "Magic Cat" verbunden ist. In dieser Datenbank sind Aufrufe der Betrugsseiten gespeichert, sowie die persönlichen Daten von Betrugsopfern wie Lucy und Fabrice. In Summe sind es mehrere Millionen Einträge aus dem Zeitraum von Ende 2023 bis Mitte 2024.

Reporterinnen und Reporter fanden in der Datenbank ein Muster: Bevor die Scammer die Phishing-SMS an Smartphone-Nutzer verschicken, überprüfen sie offenbar die Funktionsfähigkeit ihrer Fake-Webseite – mithilfe von Einträgen wie "Test" oder "123456". Die Software "Magic Cat" speichert bei jedem Seitenzugriff die IP-Adresse. So lässt sich auf den Aufenthaltsort der Scammer schließen: Demnach agieren mehr als 300 von ihnen von China oder Hongkong aus.

Kaum Opfer in China

Antonia Hmaidi, China-Expertin vom Mercator Institute for China Studies (Merics) in Berlin, sagt im Interview mit dem BR, für sie sei "nicht überraschend, dass die Spur nach China führt". Vieles spreche dafür, "dass das in China beheimatete Menschen sind, die mit ziemlich großer Wahrscheinlichkeit chinesische Staatsbürger sind".

Weiter fällt auf, dass sich in der Datenbank kaum Opfer in China finden. Dazu passt, dass die Betrugssoftware Vorlagen für Fake-Webseiten von Unternehmen und Organisationen aus mehr als 130 Ländern anbietet, jedoch nicht für China.

Dem Reporterteam gelingt es im Lauf der Recherche, verdeckt mit einem besonders aktiven Scammer aus dem Netzwerk – er nennt sich "X667788X" – in Kontakt zu treten und ihn zum Vorgehen der chinesischen Behörden zu befragen. Er antwortet: "Solange man die nationalen Interessen nicht antastet, interessiert das die chinesische Polizei nicht." Wie ernst diese Aussage zu nehmen ist, lässt sich nicht abschließend klären.

Behörden stellen Ermittlungen immer wieder ein

Opfer des Betrugs in Deutschland, die BR Recherche mit Hilfe der Datenbank ausfindig machen konnte, berichten davon, dass die Polizei die Ermittlungen jeweils eingestellt hat. Die Begründung in der Regel: Täter nicht ermittelbar.

Eine Sprecherin des Bundeskriminalamts teilt auf Anfrage mit, die Behörde kenne "Magic Cat" und das "Darcula"-Netzwerk. Die Frage, ob es aktuell Ermittlungen in diesem Zusammenhang führt, lässt das BKA unbeantwortet und verweist auf "kriminaltaktische Gründe".

Video: Interview - Wie erkennt man eine gefälschte Paket-SMS?

Eine SMS von DHL und ein angebliches Problem mit einem Paket und am Ende ist das Konto leer. Genau darum geht es in der dreiteiligen Dokuserie "Kings of Scam": BR-Reporterin Lena Walbrunn gehörte zum internationalen Rechercheteam und verfolgte ein Betrugsnetzwerk bis nach China.
Bildrechte: BR
Artikel mit Video-InhaltenVideobeitrag

BR-Reporterin Lena Walbrunn gehörte zum internationalen Rechercheteam und verfolgte ein Betrugsnetzwerk bis nach China.

Chinesischer Entwickler hinter Betrugssoftware

Im Mai 2025 hatten BR, NRK und Le Monde erstmals über die DHL-Masche und die "Magic Cat"-Software berichtet. Daraufhin tauchte der 25-jährige Chinese Yucheng C., mutmaßlich Entwickler der Software, ab. Die Betrugssoftware war danach nicht mehr zu kaufen.

Laut dem IT-Sicherheitsberater Ford Merrill (CSIS/SecAlliance) folgten auf das Verschwinden der "Magic Cat"- Software mehrere Programme mit nahezu identischer Funktionalität, darunter das Programm "Magic Mouse".

"Es ist wie bei einer vielköpfigen Hydra, schlägt man einen Kopf ab, wachsen zwei neue nach", sagt Merrill. Den globalen Schaden durch diese Art des Betrugs beziffert er auf mehrere Milliarden Dollar.

IT-Experte: SMS-Betrug nimmt zu

Insgesamt stellt Ford Merrill fest: "Die Aktivitäten im chinesischsprachigen Betrugsökosystem sind vielfältig. Wir gehen davon aus, dass Zehntausende, wenn nicht Hunderttausende Akteure in diesem System aktiv sind – von Käufern und Verkäufern bis hin zu verschiedenen Anbietern unterschiedlichster Technologien." Phishing durch Textnachrichten habe nicht abgenommen, sondern habe sich "seit Anfang 2023 fortgesetzt und möglicherweise sogar noch verstärkt".

Laut Antonia Hmaidi hätte das Regime in Peking die technischen Möglichkeiten, entsprechende Scams einzudämmen. "Sie könnten es extrem viel schwieriger machen, zum Beispiel die Software zu verteilen. Es würde wahrscheinlich noch immer kleine Fälle geben, aber nicht mehr in dieser fast industriellen Größe."

Der BR konfrontiert die chinesische Botschaft in Berlin mit den Rechercheerkenntnissen und schickt mehrfach eine detaillierte Anfrage. Eine Antwort gibt es nicht. Auch telefonische Anfragen bleiben ohne Ergebnis.

CDU-Politiker Kiesewetter: China leistet Beihilfe

Nach Einschätzung des CDU-Außenpolitikers Roderich Kiesewetter toleriert China diese Betrugsmasche und leistet "Beihilfe zum organisierten Verbrechen". Solange das so sei, könne man nicht "von einer Partnerschaft mit China sprechen. China ist auch kein Wettbewerber, sondern ein Rivale oder besser gesagt ein Gegner", erklärt der CDU-Politiker.

Kiesewetter fordert von der Bundesregierung, das Thema Betrug durch chinesische Cyberkriminelle müsse auf die Tagesordnung der bilateralen Gespräche zwischen der Volksrepublik und Deutschland. Ähnlich äußert sich die Linken-Digitalpolitikerin Donata Vogtschmidt im BR-Interview: "Ich sehe ganz klar die Bundesregierung in der Verantwortung, diplomatische Beziehungen genau zu diesem Thema mit China aufzunehmen."

Trailer: Kings of Scam – wer klickt, verliert

Mann im Aufzug, er hält in der einen Hand ein Smartphone, in der anderen ein gelbes Paket. Der Kopf wird von UI Fenstern mit Bildern von Katzen, Geldscheinen und teuren Uhren verdeckt.
Bildrechte: BR / Adobe Stock / Adobe Firefly / Christopher Roos von Rosen, Katzen mit KI-Unterstützung erstellt
Artikel mit Video-InhaltenVideobeitrag

Kings of Scam – Wer klickt, verliert

Das ist die Europäische Perspektive bei BR24.

"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!