Google verklagt Phishing-Kartell | heise online

Google geht zivilrechtlich gegen ein Verbrechersyndikat vor, das sich auf die Unterstützung von Online-Betrug in großem Maßstab spezialisiert hat. Die Drahtzieher sprechen Chinesisch. Das Konglomerat ist als Lighthouse bekannt und bietet anderen Verbrechern vorgefertigte Pakete aus Dienstleistungen und Anleitungen an. Damit wird Phishing und verbundener Kreditkartenbetrug einfach, besondere Kenntnisse sind nicht mehr erforderlich. Die Kunden nutzen überwiegend chinesische Clouds für das Hosting ihrer betrügerischen Webseiten.

Die Opfer sind überwiegend in den USA und Japan, doch sind laut einer im April veröffentlichten Untersuchung Menschen in mindestens 121 Ländern getroffen worden. „Opfer könnten die Präsenz eines Google-Logos als Indikator dafür erkennen, dass die Webseite sicher oder legitim ist“, weiß Google. Verbrecher wollen täuschend echt aussehende Webseitenfälschungen erstellen, also bauen sie die auf so vielen Webseiten prangenden Logos für Google, Google Play oder Youtube in ihre Fälschungen ein. Damit begehen sie einen Markenrechtsverstoß, den Google vor Gericht geltend machen kann.

Die konkrete Anzahl und die Namen der Lighthouse-Täter sind Google nicht bekannt, weshalb es seine Klage am US-Bundesbezirksgericht für das Südliche New York an „Does 1-25“ richtet. Das ist ein Platzhalter für „Unbekannt 1 bis 25“. Die Zahl ist repräsentativ zu verstehen; tatsächlich dürften Hunderte an dem arbeitsteiligen Betrugssystem beteiligt sein. Die Anbieter werben laut Klageschrift damit, dass Kunden bei mehr als 300 Support-Mitarbeitern Unterstützung für ihre Verbrechen erhalten können.

SMS und Webseiten

Lighthouse bietet Dienstleistungen für zwei Phishing-Felder: SMS und betrügerische Webseiten. Letztere werden durch Postings in Sozialen Netzen sowie durch Online-Reklame, wie Google sie vermittelt, beworben. Zur Einrichtung von Google-Werbekonten werden gerne Gmail-Konten genutzt, die vor Jahren angelegt wurden und nun auf dem Schwarzmarkt gehandelt werden. Diese erregen bei Googles automatisierten Systemen weniger Aufmerksamkeit als neue Gmail-Konten. Zum besonderen Unbill Googles, werden zur Identifizierung nicht nur gefälschte oder kopierte Ausweise genutzt, sondern zur Bezahlung der Reklameschaltung auch noch Daten fremder Kreditkarten. Die Täter verstoßen also mehrfach gegen Googles Nutzungsbedingungen.

Während die betrügerischen Online-Shops mit günstigen Angeboten locken, erzählen die massenhaft versandten SMS Märchen über fehlgeschlagene Paket-Zustellungen, aushaftende Mautgebühren, wichtige Behördenwege oder dringende Bankangelegenheiten. Dazu wird auf Webseiten-Fälschungen verlinkt. Lighthouse hat hunderte Vorlagen im Angebot. Auf über hundert davon hat Google seine Logos entdeckt.

Zu den Lighthouse-Dienstleistungen zählt auch die Vermittlung von Domain-Registrierungen unter falschen Namen sowie die laufende Prüfung der Domains hinsichtlich Einträgen bei transparencyreport.google.com sowie in den schwarzen Listen gängiger Webbrowser. Wird eine Domain oder Webseite als entlarvt erkannt, informiert Lighthouse seinen Kunden umgehend, damit er flott auf eine andere Domain umstellen kann.

Das Phishing der Daten

In jedem Fall werden die Opfer dazu verleitet, ihre Bezahldaten einzugeben, meist Kreditkarteninformationen. Es folgt eine vorgetäuschte Zweifaktor-Authentifizierung (2FA), bei der das Opfer einen entsprechenden Code eingeben muss.

Während das Opfer auf den per SMS oder E-Mail zugemittelten Code der Bank wartet, generieren die Täter aus den Kreditkartendaten geschwind Bilder, die wie echte Kreditkarten aussehen, und fotografieren diese Bilder sofort ab, um die fremde Kreditkarte einem Smartphone-Wallet hinzuzufügen. Das erfordert zusätzlich 2FA. Genau auf diesen Code wartet der echte Kreditkarteninhaber ja gerade. Merkt er den Unterschied nicht und gibt den von der Bank erhaltenen Code auf der vermeintlich echten Webseite ein, haben die Täter gewonnen.

Sie haben nun ein elektronisches Wallet mit einer fremden Kreditkarte. Damit lässt sich eine Weile einkaufen gehen. Das tun die Täter in der Regel nicht selbst; vielmehr verkaufen sie das Wallet weiter. Überhaupt ist das Ganze professionell arbeitsteilig aufgezogen: Es gibt Programmierer, Datenhändler, Spammer, und schließlich jene, die die Beute zu Geld machen. Hinzu kommt ein Team, das Online-Communities betreibt und betreut, um die Zusammenarbeit der verschiedenen Gruppen zu koordinieren und neue Mitglieder anzuwerben.

Die juristische Seite

Google stützt seine Klage auf Verschwörung nach dem Anti-Mafia-Gesetz Racketeer Influenced and Corrupt Organizations Act (RICO) und erhebt die Vorwürfe des Überweisungsbetrugs, der Computerbetrugs, der Markenrechtsverletzung, des unlauteren Wettbewerbs, irreführender Herkunftsangaben sowie unwahrer Werbung. Der Datenkonzern fordert Feststellung der Rechtsverletzungen, Unterlassungsverfügungen, Schadenersatz mit Strafzuschlägen und Kostenersatz.

Das Verfahren selbst wird wohl ohne die Beklagten ablaufen. Unmittelbare Auswirkungen haben sie nicht zu fürchten, solange ihre Identitäten unbekannt sind oder sie sich beispielsweise in der Volksrepublik China aufhalten. Wahrscheinlichster Ausgang ist ein Versäumnisurteil, da sich die Beklagten wohl kaum zu erkennen geben und verteidigen werden.

Dann könnte Google Anspruch auf etwaig beschlagnahmte Vermögenswerte anmelden, die nicht an Opfer zurückgegeben werden können. Denkbar ist, dass solch ein Urteil Google oder anderen Opfern dabei hilft, Versicherungsleistungen in Anspruch zu nehmen. Zudem hätten geschnappte Lighthouse-Kunden eine Ausrede weniger: Die Illegalität des Angebots wäre schon gerichtlich geklärt.

Das Verfahren heißt Google v Does 1-25 und ist am US-Bundesbezirksgericht für das Südlicher New York unter dem Az. 1:25-cv-09421 anhängig. Parallel drängt Google auf strengere Gesetze.

(ds)