Katusha: LKA zerschlägt Ring von Online-Betrügern

Die Landeskriminalämter (LKAs) Baden-Württemberg und Nordrhein-Westfalen haben im Rahmen der Operation "Katusha" einen Schlag gegen einen Ring von Internet-Kriminellen geführt. Es handle sich um eines der umfangreichsten Ermittlungsverfahren gegen Verbreiter von Schadsoftware und Online-Betrüger, das es bislang in Deutschland gegeben hat, teilten die Behörden mit. Gemeinsam konnte man die Hintermänner einer international agierenden Gruppierung, die im großen Stil Online-Banking-Transaktionen manipuliert haben soll, ermitteln.

Dies gelang den Angaben zufolge in enger Kooperation mit den estnischen und britischen Strafverfolgungsbehörden. Die Haupttäter sollen über 260 manipulierte Überweisungen in Höhe von mindestens 1,65 Millionen Euro ins In- und Ausland getätigt haben. Zuvor wurden durch die Verdächtigen Trojaner auf den PCs der Betroffenen installiert, um Zugriff auf die Online-Bankgeschäfte zu erhalten.

"Gegen diese Masche der Hacker hatten die betroffenen Bankkunden kaum eine Chance. Der Ermittlungserfolg beweist, dass länderübergreifende Kooperationen der richtige Weg sind, um auch international agierenden Straftätern das Handwerk zu legen", sagte Klaus Hiller, Präsident des Landeskriminalamtes Baden-Württemberg.

Durch umfangreiche Überwachungsmaßnahmen sowie durch Auswertung von Servern und Kommunikation zwischen den Tatverdächtigen ist es der Ermittlungskommission zudem gelungen, rund 470 so genannte Finanzagenten zu ermitteln. Diese haben sich bei von den Hauptverdächtigen betriebenen fiktiven Firmen als "Finanzmanager" beworben.

Ihre Aufgabe war es, bei unterschiedlichen Banken Konten zu eröffnen, um eingehende Gelder abzuheben und an bestimmte Personen weiterzuleiten. Gegen sie wurden deshalb Strafverfahren wegen Verdachts der Geldwäsche eingeleitet.

"Neben der Ermittlung von Strukturen und Straftätern verfolgten wir von Beginn an auch präventive Ziele. Durch fortgeschrittene Ermittlungsmethoden gelang es uns, finanzielle Schäden in Höhe von 1,2 Millionen Euro von den betroffenen Bürgern abzuwenden und den Tätern die Gewinne zu entziehen", berichtete Wolfgang Gatzke, Direktor des Landeskriminalamtes Nordrhein-Westfalen.

Sobald neue Erkenntnisse zu ausgespähten Kunden oder neuen Konten vorlagen, teilte das Katusha-Team diese den Banken mit. Diese hatten damit die Möglichkeit, bereits erfolgte missbräuchliche Überweisungen zurückzubuchen, Konten von Finanzagenten schon vor dem Eintritt eines Schadens zu sperren oder Konten von ausgespähten Bürgern bereits im Vorfeld gegen missbräuchliche Überweisungen zu sichern.

Die Infektion der Kunden-PCs erfolgte den Angaben zufolge sowohl über manipulierte PDF-Dateien als auch über so genannte Drive-by-Infections. Dabei werden PCs über Schwachstellen des Browsers angegriffen, wenn ein Nutzer beim Surfen im Internet auf manipulierte Webseiten gelangt.

Sobald ein Geschädigter eine Onlinebanking-Sitzung begonnen hatte, wurde der Trojaner aktiv. Nachdem der Nutzer eine Überweisung geschrieben hatte und zur Eingabe einer i-TAN aufgefordert wurde, veränderte der Trojaner Betrag, Saldo, Verwendungszweck sowie die Empfängerdaten. Auch wenn der geschädigte Bürger die Kontoübersichtsseite betrachtet hat, blieb ihm die missbräuchliche Überweisung verborgen, da auch diese Seite vom Trojaner manipuliert wurde. So war für die Geschädigten die missbräuchliche Überweisung erst auf dem Papierkontoauszug erkennbar.