Ein englischer Student ist in London wegen einer Phishing-Serie, die auch hierzulande zahlreiche Opfer forderte, zu einer siebenjährigen Freiheitsstrafe verurteilt worden.
Der junge Mann ist geständig, über 1000 sogenannte Phishing-Kits entwickelt und verkauft zu haben. Unbekannte Täter nutzten diese im grossen Stil, um gefälschte Login-Webseiten (Phishing-Seiten) verschiedener Schweizer Banken zu erstellen und SMS-Authentifizierungscodes abzufangen. So wurden allein in der Schweiz Bankkunden um rund 2,4 Millionen Franken betrogen, wie die Bundesanwaltschaft mitteilte.
«Geschädigt wurden die Bankkunden, indem sie über eine Google-Suche auf die dort als Anzeige geschalteten Phishing-Seiten gelangten und versuchten, sich in ihr vermeintliches E-Banking-Konto einzuloggen», schreibt die Bundesanwaltschaft (BA).
Dabei wurden ihre E-Banking-Zugangsdaten im Hintergrund abgefangen, was es den Tätern ermöglichte, mit den gestohlenen Zugangsdaten die Zwei-Faktor-Authentifizierung auszulösen.
Da die Geschädigten laut Bundesanwaltschaft nach wie vor im Glauben waren, sich auf der echten Webseite der Bank zu befinden, bestätigten sie den Anmeldeversuch mittels Eingabe des per SMS zugestellten Authentifizierungscodes auf der Phishing-Seite. Dadurch erhielten die Täter den Anmeldecode und konnten sich in das E-Banking-Konto der geschädigten Kunden einloggen.
Anschliessend lösten sie ohne das Wissen der Kunden Zahlungen aus. Zu den betroffenen Banken macht die Bundesanwaltschaft indes keine Angaben, wie es am Dienstag auf Anfrage der Nachrichtenagentur Keystone-SDA hiess.
Bereits im Oktober 2023 hatte die Tessiner Kantonalbank erfolgreiche Phishing-Angriffe bestätigt. Die Betrüger erstellten gefälschte Webseiten der Bank und bewarben diese in Suchmaschinen. Banken raten daher immer wieder, nicht über Suchmaschinen auf das E-Banking zuzugreifen.
Bereits seit 2022 hatte die Bundesanwaltschaft das Strafverfahren gegen Unbekannt geführt. Davor hatten mehrere kantonale Staatsanwaltschaften im gleichen Zusammenhang in rund 30 Fällen Verfahren eröffnet, welche die Bundesanwaltschaft in der Folge übernahm.
Im Zuge der gemeinsamen Ermittlungen mit dem Bundesamt für Polizei (Fedpol) konnte der junge Engländer als Entwickler und Vertreiber des Phishing-Kits identifiziert und lokalisiert werden. Das Strafverfahren wurde dann von den britischen Behörden übernommen, die bereits ein ähnliches Verfahren gegen den Mann führten, wie es am Dienstag weiter hiess.
Die darauffolgende «enge Zusammenarbeit von BA und Fedpol mit Europol, Eurojust und den britischen Strafverfolgungsbehörden» habe es ermöglicht, den Entwickler und Verkäufer des verwendeten Phishing-Kits im Oktober 2023 in seiner Universitätsunterkunft in Canterbury zu verhaften.
Nach seiner ersten Verhaftung nutzte der Mann seinen Telegram-Kanal indes weiterhin zur Unterstützung und Wartung von Phishing-Kits, bis er am 20. Mai 2024 erneut an seiner Privatadresse verhaftet wurde, wie es in einer Mitteilung des Crown Prosecution Services (CPS) heisst.
In der vergangenen Woche wurde der Beschuldigte aus West London vom Southwark Crown Court zu einer Freiheitsstrafe von sieben Jahren verurteilt. Dieser Erfolg zeige «die Effektivität und Wirksamkeit internationaler Zusammenarbeit im Kampf gegen die stetig zunehmende Cyberkriminalität», schrieb derweil die Bundesanwaltschaft zu dem Urteil.
Der Verurteilte war laut den Briten für die Erstellung und Bereitstellung von insgesamt 1052 Phishing-Kits verantwortlich. Diese zielten auf 69 Finanzinstitute und grosse Organisationen, einschliesslich Wohltätigkeitsorganisationen, in 24 Ländern ab.
Die Aktivitäten des jungen Engländers führten weltweit zu einem geschätzten Schaden von umgerechnet mindestens 107,5 Millionen Franken.
Der Student «handelte aus Gier und profitierte erheblich von diesen illegalen Geschäften, durch die er seinen eigenen verschwenderischen Lebensstil auf Kosten unzähliger Personen und Unternehmen finanzierte, die verheerende finanzielle Verluste und emotionalen Schaden erlitten», wird die britische Staatsanwältin Sarah Jennings in einer Mitteilung zitiert.
(sda/oli)
"UBS" googlen, Link anklicken, "E-Banking" anklicken: 3 commands
Wer verlängert aus Faulheit/Dummheit den Weg ins E-Banking?