Die Täter sprechen Chinesisch und agieren aus Asien: Der Bayerische Rundfunk hat mit europäischen Partnermedien ein kriminelles Netzwerk um einen chinesischen Betrüger aufgedeckt, das Textnachrichten mit Links zu gefälschten Webseiten in alle Welt verschickt und so Kreditkartendaten von Hunderttausenden erbeutet.
Während die Täter ihr Luxusleben in Asien führen, betrügen sie Menschen überall auf der Welt – auch in Deutschland und Bayern. Im Rahmen der Recherche hat der BR mit mehr als 100 Betroffenen der Gruppe, die sich "Darcula" nennt, gesprochen.
Mit Leuten wie Torsten aus München. Seinen richtigen Namen möchte er hier nicht lesen. Er erinnert sich gut an jenen Sonntag im März 2024, als er die Textnachricht um 10.31 Uhr auf sein Smartphone bekommt. Die Mitteilung, angeblich von DHL, überrascht ihn nicht: Tatsächlich wartet er damals auf ein Paket aus den USA. Sein Vater ist gerade zu Besuch, seine Frau ruft ihn in die Küche, er klickt noch schnell auf den Link in der Nachricht. Die Webseite, die er öffnet, sieht aus wie die von DHL, auch das Impressum stimmt. Torsten tippt seine Daten in die Eingabemaske.
Angeblich, so erinnert sich Torsten heute, verlangt DHL eine Extragebühr für die Zustellung des Pakets – so steht es auf der gefälschten Webseite. Er tippt also schnell seine Kreditkartendaten ein, dann noch einen TAN-Code von seiner der Bank. Kurz darauf fehlen auf seinem Konto knapp 1.500 Euro. Erst am Abend bemerkt er, dass etwas nicht stimmt.
Torstens Bank legt ihm sein Handeln als grob fahrlässig aus, erzählt er. Eine Woche nach dem Betrug habe die Bank ihm mitgeteilt, dass sie nichts mehr für ihn tun könne. Das Geld ist weg. Die Polizei, die er ebenfalls einschaltet, habe ihm zu verstehen gegeben, dass sie Fälle wie die von Torsten nicht einzeln verfolge, sondern zunächst nur sammele.
Opfer kommen aus allen gesellschaftlichen Schichten
Der BR hat das Vorgehen der Täter recherchiert – gemeinsam mit dem norwegischen Rundfunk "NRK" und der französischen Zeitung "Le Monde". Die norwegische Cyber-Sicherheitsfirma "Mnemonic" hatte den Medien umfangreiches Material zur Verfügung gestellt – darunter eine Datenbank der Täter, in der Betrugsopfer aufgelistet sind. Daraus geht hervor, dass von Ende 2023 bis Mitte 2024 mehr als knapp 900.000 Menschen weltweit Kreditkartendaten über die gefälschten Webseiten eingegeben haben. Die drei Medien haben mit mehreren hundert Männern und Frauen gesprochen, die in der Datenbank auftauchen. Sie sind jung und alt, Juristen sind darunter, Lehrer, Rentner. Sogar IT-Experten ließen sich von den professionell gemachten Betrugs-Webseiten täuschen.
Das passt zur Beobachtung von Rechtsanwältin Carolyn Diepold, die sich auf die Vertretung von Betroffenen solcher Betrugsfälle mit Textnachrichten und gefälschten Webseiten spezialisiert hat. In der Berliner Anwaltskanzlei, für die Diepold tätig ist, vertritt sie den gesamten Querschnitt der Gesellschaft. "Es gibt auf gar keinen Fall ein Musteropfer", sagt sie. Diepold kämpft dafür, dass die Geschädigten ihr Geld von ihren Banken zurückbekommen.
Täter imitieren Webseiten von mehr als 300 Organisationen
Dem BR liegt eine Kopie der Betrugs-Software vor, mit der die Täter die Webseiten fälschen. Sie zeigt: Vorsicht ist nicht nur bei angeblichen DHL-Webseiten angebracht. Die Software bietet vorgefertigte Kopien von mehr als 300 Organisationen aus 130 Ländern an. Häufig handelt es sich um Post- und Paketzusteller, aber auch Stromanbieter oder Behörden gehören dazu. In Deutschland setzen die Betrüger auch auf Kopien von Webseiten der Telekom, des Paketzustellers Hermes sowie des Rundfunkbeitrags. Organisationen also, mit denen viele Menschen in Deutschland zu tun haben.
Auf die Frage, was die Organisationen gegen die Betrugs-Seiten unternehmen, reagierten sie unterschiedlich. Von Hermes heißt es, das Unternehmen würde betrügerische Web-Adressen bei zuständigen Internetprovidern melden und auf Basis der aktuellen Gesetzgebung sperren oder vom Netz nehmen lassen. Der Beitragsservice des Rundfunkbeitrags verweist darauf, dass er wiederholt auf seiner Webseite vor den Betrugsmaschen warnte.
Die Telekom gibt an, sie beobachte "Darcula": "Allein seit November 2024 können wir Darcula etwa acht Kampagnen zuordnen." Rund 8.800 Internetadressen habe der Telekommunikationsanbieter in diesem Zusammenhang identifiziert, die genutzt worden seien, um geklonte Websites ins Netz zu stellen. Die Telekom gibt an, jeden betroffenen Kunden, den sie identifizieren kann, persönlich zu warnen. Das sei zuletzt viele tausende Male "in leider recht kurzer Zeit" erforderlich gewesen, schrieb ein Sprecher des Unternehmens.
Eine DHL-Sprecherin teilt mit: "Bitte haben Sie Verständnis dafür, dass wir uns nicht zu Fragen der Cybersicherheit äußern."
Betroffene sollten ihre Banken informieren
Die Verbraucherzentralen in Deutschland warnen davor, Textnachrichten von angeblichen Paketdiensten zu öffnen. Statt auf Links zu tippen, sollten Empfänger immer direkt die offizielle Webseite des Dienstleisters im Browser aufrufen. Wer betroffen ist, sollte Beweise sichern, sofort die Bank informieren und Anzeige bei der Polizei erstatten.
Der Verbraucherzentrale Bundesverband (VZBV) sieht allerdings auch die Banken in der Pflicht. Die Zahlungsdienstleister kämen ihren Sorgfaltspflichten "bislang nur ungenügend nach", sagt Heiko Fürst, Finanzexperte beim VZBV. Die Banken "sollten stärker ihre Möglichkeiten ausschöpfen, um betrügerische Überweisungen zu identifizieren und rechtzeitig zu stoppen." Auch der Gesetzgeber müsse hier aktiv werden, und "Zahlungsdienstleister stärker in die Pflicht nehmen und deren Sorgfaltspflichten konkreter definieren".
Der Bundesverband deutscher Banken teilt auf BR-Anfrage mit, es gebe, was den Umgang mit solchen Schadensfällen angeht, weder ein einheitliches noch abgestimmtes Vorgehen der Banken. Das jeweilige Institut prüfe die Fragen ihrer jeweiligen Kunden und entscheide fallbezogen. "Das sicherste technische System kann keinen ausreichenden Schutz bieten, wenn die Nutzer dieses Systems durch Kriminelle ausgetrickst werden", schreibt der Verband. Die Banken hätten nur "beschränkte Möglichkeiten", solche Transaktionen zu verhindern oder überhaupt zu erkennen.
Torsten aus München ärgert sich bis heute. Seine 1.500 Euro sind weg. "Das wäre so ein schöner Kurztrip gewesen oder sogar eine Woche Urlaub. Man fühlt sich einfach hilflos. Total."
Diese Veröffentlichung ist Teil der internationalen "Darcula Unmasked"-Recherche mit Beteiligung von NRK (Norwegen), Le Monde (Frankreich) und dem Bayerischen Rundfunk. Mehr zu diesem Thema erfahren Sie außerdem auf BR24 Radio in der Sendung "Der Funkstreifzug" am Mittwoch um 12.17 Uhr oder jetzt schon in der ARD Audiothek.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!