Das internationale Betrugsnetzwerk hinter der Software "Magic Cat" ist offenbar unter Druck geraten. Anfang Mai hatten BR und internationale Partnermedien darüber berichtet, wie Kriminelle hunderttausendfach Kreditkartendaten mit der Software erbeuten. Seitdem sind zahlreiche Betrugsseiten verschwunden – Fachleute sprechen von einem deutlichen Rückgang. Auch der mutmaßliche Entwickler der Software, bekannt unter dem Namen Darcula, ist seither abgetaucht.
Webseiten von Paketdiensten täuschend echt nachgebaut
Die Betrugs-Software ermöglicht es Kriminellen, Webseiten von Paketdiensten, Telekommunikationsanbietern oder Behörden täuschend echt nachzubauen. Recherchen des Bayerischen Rundfunks mit dem norwegischen Rundfunk NRK und der französischen Zeitung Le Monde hatten ein internationales Netzwerk offengelegt: Chinesische Cyberkriminelle setzen die Software "Magic Cat" ein, um in großem Stil Kreditkartendaten von Menschen auf der ganzen Welt abzugreifen.
In Deutschland nutzen die Täter vor allem gefälschte DHL-Webseiten, um an Kreditkartendaten zu gelangen. Dorthin locken sie ihre Opfer mit Textnachrichten, die sie auf Smartphones verschicken: Angeblich könne eine Sendung nicht zugestellt werden. Durch den Einsatz von "Magic Cat" erbeuteten Kriminelle in einem Zeitraum von sieben Monaten Kreditkarteninformationen von knapp 900.000 Personen, 20.000 davon in Deutschland.
Entwickler "Dracula" verschwindet aus dem Netz
Eine mutmaßliche Schlüsselfigur ist jetzt offenbar von der Bildfläche verschwunden: Die Reporter hatten einen 24-jährigen Mann aus der Provinz Henan in China mit dem Namen Yucheng C. als mutmaßlichen Entwickler von "Magic Cat" identifiziert. Unter dem Namen Darcula soll er die Software entwickelt und über Mittelsmänner an Kriminelle vermietet haben. Auf Anfragen der Reporter per E-Mail, Telefon und Chatnachrichten reagierte er nicht. Inzwischen ist eine von ihm genutzte E-Mail-Adresse deaktiviert.
Auf Telegram ging Darcula kurz nach einem ersten Kontaktversuch durch Reporter Ende April offline. Die Recherchen von NRK, Le Monde und BR erschienen Anfang Mai. "Der Boss möchte für eine Weile verschwinden", schrieb ein Nutzer, der zuletzt als Händler der Software agiert hatte, drei Tage nach der Veröffentlichung in einem Chat. "Er kann nicht kontaktiert werden."
Wenige Stunden später wurde der Account von Darcula gelöscht. Es ist unklar, ob der Account von seinem Betreiber entfernt wurde – oder von der Plattform Telegram. Telegram ließ eine entsprechende Anfrage dazu inhaltlich unbeantwortet.
Verkauf der Software gestoppt – Einsatz von "Magic Cat" geht deutlich zurück
Etwa eine Woche nach der ersten Kontaktaufnahme der Reporter bei Darcula gab es in einer internen Telegram-Gruppe den Hinweis, dass keine neuen "Magic Cat"-Lizenzen mehr verkauft werden. In der Regel vergeben die Verkäufer diese Lizenzen für eine Woche oder einen Monat. Zwei der Händler gaben an, "Magic Cat" derzeit nicht anbieten zu können. Harrison Sand von der norwegischen IT-Firma Mnemonic, die den Medien umfangreiches Material zu "Magic Cat" und Darcula zur Verfügung gestellt hatte, erklärt, ohne neue Lizenzen sei es nicht möglich, die Software weiterzunutzen.
Die britische Sicherheitsfirma Netcraft beobachtet betrügerische Internetseiten. Dabei stellte das Unternehmen fest: Die Anzahl der Webseiten, die die "Magic Cat"-Software einsetzen, ging zuletzt um 65 Prozent zurück. Ob die Software dauerhaft verschwunden ist, sei aber noch unklar. "Ich würde nicht damit rechnen, dass die Aktivitäten einfach aufhören", sagt Robert Duncan von Netcraft.
Diese Veröffentlichung ist Teil der internationalen "Darcula Unmasked"-Recherche mit Beteiligung von NRK (Norwegen), Le Monde (Frankreich) und dem Bayerischen Rundfunk.
Im Video: Falsche DHL-Nachrichten - Wer dahinter steckt
Eine SMS, die angeblich von einem Paketdienst stammt, lässt viele Verbraucher in eine Falle tappen.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!