Google verklagt Phishing-Netzwerk: Millionen Opfer weltweit

Der Suchmaschinenriese aus Mountain View geht in die Offensive: Mit einer bahnbrechenden Klage will Google ein globales Cybercrime-Imperium zerschlagen, das über 120 Länder mit betrügerischen SMS überzogen hat. Die Plattform “Lighthouse” ermöglichte selbst technischen Laien den Aufbau professioneller Phishing-Kampagnen – und erbeutete dabei Millionen Kreditkartendaten.

Der heute eingereichte Rechtsstreit vor dem Bundesgericht in New York markiert einen Paradigmenwechsel: Erstmals nutzt ein Tech-Konzern das berüchtigte RICO-Gesetz gegen organisierte Kriminalität, um eine Phishing-Infrastruktur zu bekämpfen. Die Dimension ist beeindruckend – oder erschreckend: Allein in 20 Tagen entstanden 200.000 gefälschte Webseiten, die Postdienste, Mautstellen und Banken täuschend echt imitierten.

Die aus China operierende Plattform funktionierte wie ein perfider Software-Baukasten. Gegen Abo-Gebühr erhielten Kriminelle Zugriff auf über 600 fertige Phishing-Templates, die mehr als 400 Marken nachbildeten. Das perfide System: 107 dieser Vorlagen missbrauchten Googles eigene Markennamen für gefälschte Anmeldeseiten.

Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen – gerade bei SMS-Phishing oder datenbasierten Nachrichten wie RCS können persönliche Daten schnell in falsche Hände geraten. Ein kostenloses Sicherheitspaket zeigt Schritt für Schritt, wie Sie Ihr Android-Gerät gegen Phishing, Datenklau und Schadsoftware schützen (inkl. Checkliste für WhatsApp, Online-Banking und App-Berechtigungen). Holen Sie sich praxisnahe Anleitungen, die Sie sofort umsetzen können. Jetzt kostenloses Android-Sicherheitspaket anfordern

Die Masche folgt einem bewährten Muster. Opfer bekommen SMS über angeblich unbezahlte Mautgebühren oder ausstehende Paketzustellungen. Ein Klick führt zur täuschend echten Fake-Webseite, auf der ahnungslose Nutzer Kreditkartendaten eingeben. Was nach Kleinkriminalität klingt, entpuppt sich als hochprofessionelle Operation mit industriellen Ausmaßen.

Cybersecurity-Experten bezeichnen die Drahtzieher als “Smishing Triad” – eine organisierte Gruppierung mit klaren Hierarchien. Verschiedene Teams spezialisieren sich auf Datenhandel, Nachrichtenversand und die Verwertung gestohlener Zugangsdaten. Die Struktur gleicht mehr einem Konzern als einer klassischen Hackerbande.

Der technische Trick: Wie Betrüger Apples und Googles Systeme kapern

Herkömmliche SMS-Filter greifen ins Leere – und genau darauf setzen die Lighthouse-Nutzer. Statt regulärer Textnachrichten verschicken sie ihre Phishing-Links über Apples iMessage und Googles RCS-Protokoll. Diese internetbasierten Dienste laufen unter dem Radar traditioneller Spam-Kontrollen.

Der Clou: Mobilfunkbetreiber können diese datenbasierten, oft verschlüsselten Nachrichten kaum auf schädliche Inhalte prüfen. Die Zustellrate steigt dramatisch, legitime Kommunikationskanäle werden zur Waffe umfunktioniert. Eine Form von Platform-Hijacking, die selbst erfahrene Nutzer überrumpelt.

Diese technische Raffinesse unterscheidet moderne Phishing-as-a-Service-Anbieter von einfachen Betrügern. Die Lighthouse-Plattform senkt die Einstiegshürde für Cyberkriminalität auf ein Minimum – wer eine Website bedienen kann, kann auch Phishing betreiben.

RICO-Gesetz gegen Hacker: Googles juristische Offensive

Die rechtliche Strategie ist beispiellos. Google beschuldigt die Betreiber nicht nur des Computerbetrugs und Markenrechtsmissbrauchs, sondern behandelt Lighthouse als kriminelle Vereinigung nach dem Racketeer Influenced and Corrupt Organizations Act. Dieses normalerweise gegen Mafia-Strukturen eingesetzte Instrument soll nun die Cybercrime-Infrastruktur zerschlagen.

Ziel ist mehr als eine Schadensersatzklage: Google strebt einstweilige Verfügungen an, die eine komplette Demontage der technischen Infrastruktur ermöglichen. Jeder zahlende Kunde der Plattform würde damit seinen Service verlieren – ein Schlag gegen das gesamte Geschäftsmodell.

Parallel unterstützt der Konzern zwei überparteiliche Gesetzesinitiativen im US-Kongress. Der GUARD Act und der SCAM Act sollen Ermittlungsbehörden bessere Werkzeuge gegen grenzüberschreitende Cyberkriminalität geben. Ein Signal: Technologieunternehmen wollen nicht mehr nur reagieren, sondern aktiv angreifen.

Die Demokratisierung des Verbrechens

Lighthouse steht exemplarisch für einen beunruhigenden Trend: die Industrialisierung der Cyberkriminalität. Phishing-as-a-Service-Plattformen verpacken komplexe Angriffswerkzeuge in benutzerfreundliche Oberflächen. Technisches Know-how? Nicht mehr nötig. Das Ergebnis: explodierende Fallzahlen bei gleichzeitig sinkenden Fähigkeitsanforderungen.

Die über eine Million betroffenen Personen weltweit zeigen die Reichweite dieses Modells. Zum Vergleich: Deutsche DAX-Konzerne kämpfen zunehmend mit ähnlichen Angriffen auf ihre Kunden. Die Professionalisierung macht nationale Grenzen obsolet – ein in China gehosteter Service bedroht Nutzer in Berlin genauso wie in New York.

Die Täter organisieren sich längst über verschlüsselte Messenger wie Telegram, rekrutieren neue Mitglieder und aktualisieren ihre Software kontinuierlich. Eine parallele Untergrundökonomie mit eigenen Vertriebskanälen und Zahlungsstrukturen.

Kein Wundermittel: Der lange Kampf geht weiter

Googles Klage markiert einen Meilenstein, aber keine Lösung. Wird Lighthouse zerschlagen, dürften andere Plattformen in die Lücke stoßen. Die Agilität der Betreiber und die internationale Dimension erschweren nachhaltige Erfolge. Was heute in China gehostet wird, könnte morgen aus Russland oder Südostasien operieren.

Die Zukunft erfordert einen mehrdimensionalen Ansatz: technische Innovation bei der Spam-Erkennung, proaktive Zerstörung krimineller Infrastrukturen und verstärkte internationale Kooperation. Für Nutzer bleibt Wachsamkeit die wichtigste Verteidigung.

Verdächtige SMS mit Zahlungsaufforderungen sollten ignoriert werden. Links in unerwarteten Nachrichten sind tabu. Und sensible Daten gehören nie auf Webseiten, die man über Textnachrichten erreicht hat. Diese simplen Regeln schützen besser als jede technische Firewall – denn am Ende zielen die Betrüger immer auf den Menschen, nicht die Maschine.

PS: Diese 5 Schutzmaßnahmen machen Ihr Smartphone spürbar sicherer – Tipp 3 schließt eine oft unterschätzte Lücke bei Nachrichten und App-Rechten. Der Gratis-Ratgeber erklärt, welche Einstellungen Sie sofort ändern sollten, wie automatische Prüfungen helfen und welche Apps Sie kritisch prüfen müssen, damit Phishing-Links keine Chance haben. Ideal für Nutzer von WhatsApp, PayPal oder Mobile-Banking. Gratis Android-Sicherheits-Paket herunterladen