Google zerschlägt globales Phishing-Imperium binnen 24 Stunden

Der Tech-Konzern hat ein internationales Betrugsnetzwerk ausgehoben, das über eine Million Menschen in mehr als 120 Ländern ins Visier nahm. Die sogenannte „Lighthouse”-Plattform ermöglichte es selbst technisch unerfahrenen Kriminellen, massenhaft täuschend echte Phishing-SMS zu versenden – getarnt als Nachrichten von Post, Mautbetreibern oder Google selbst.

Das Besondere an Googles Vorgehen: Der Konzern nutzte ein Gesetz, das normalerweise gegen die organisierte Kriminalität zum Einsatz kommt. Mit dem RICO-Act im Rücken reichte Google Klage vor einem Gericht in New York ein und ließ die Server-Infrastruktur der Betrüger innerhalb eines Tages vom Netz nehmen. Die mutmaßlichen Drahtzieher, eine in China ansässige Gruppe namens „Smishing Triad”, sollen Kreditkarteninformationen von bis zu 115 Millionen US-Bürgern erbeutet haben.

Die Lighthouse-Plattform funktionierte wie ein professionelles Dienstleistungsunternehmen – nur eben für Cyberkriminalität. Wer den Service abonnierte, erhielt Zugang zu einem kompletten Werkzeugkasten: Massen-SMS-Tools, über 100 vorgefertigte gefälschte Webseiten und sogar Dashboards zur Überwachung der gestohlenen Zugangsdaten. Die Fake-Sites kopierten minutiös das Design bekannter Marken und nutzten illegal deren Logos.

Passend zum Thema SMS‑Betrug: Viele Android-Nutzer wissen nicht, wie leicht Phishing‑Links über SMS an persönliche Daten gelangen können — allein Anfang des Jahres entstanden laut Googles Ermittlungen rund 200.000 betrügerische Webseiten. Das kostenlose Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone, zeigt, wie Sie verdächtige Links erkennen, sichere Einstellungen aktivieren und Bank-Apps schützen. Extra-Tipps erläutern, welche Apps vertrauenswürdig sind und wie Sie Backups sicher verwalten. Gratis Android-Sicherheits-Paket jetzt herunterladen

Die gängigsten Betrugsmaschen? Angeblich feststeckende Pakete von der US-Post oder unbezahlte Mautgebühren. Die SMS enthielten Links zu täuschend echt wirkenden Webseiten, auf denen Opfer ihre persönlichen Daten eingeben sollten – von Passwörtern über Sozialversicherungsnummern bis hin zu Kreditkarteninformationen.

Googles Ermittlungen offenbarten das schiere Ausmaß: Allein in einem 20-Tage-Zeitraum Anfang des Jahres entstanden mit dem Lighthouse-Baukasten rund 200.000 betrügerische Webseiten. Die Betrugsmaschine lief auf Hochtouren.

Angriff auf die Infrastruktur

Bislang konzentrierte sich die Strafverfolgung meist auf einzelne Betrüger – ein Katz-und-Maus-Spiel ohne Ende. Google wählte einen anderen Weg: Die Klage richtet sich gegen 25 bislang unbekannte Personen und zielt darauf ab, das gesamte Ökosystem zu zerstören, das solche Betrügereien erst ermöglicht.

„Diese Betrüger haben potenziell zwischen 15 und 100 Millionen Kreditkarten in den USA kompromittiert”, erklärte Googles Chefjuristin Halimah DeLaine Prado gegenüber CBS News. Das vorrangige Ziel sei nicht die finanzielle Entschädigung der Opfer, sondern die Abschreckung künftiger Täter und die Zerschlagung ihrer technischen Basis.

Der Erfolg kam prompt: Nachdem Google gerichtliche Anordnungen erwirkte, mit denen Hosting-Anbieter gezwungen wurden, die IP-Adressen und Domains der Plattform zu blockieren, ging das Netzwerk vom Netz. Interne Kommunikation der Kriminellen zeigte deren Überraschung und Panik.

Was bedeutet das für die Cybersicherheit?

Experten werten die Aktion als möglichen Wendepunkt im Kampf gegen SMS-Betrug. Durch die Kombination aus juristischer Offensive und technischer Expertise hat Google gezeigt, wie sich kriminelle Netzwerke rasch und effektiv lahmlegen lassen. Zwar bleibt die Rückholung gestohlener Gelder schwierig – doch solche Klagen erhöhen den Aufwand und die Kosten für Kriminelle erheblich.

Die Professionalisierung der Betrugsmaschinerien ist alarmierend. Phishing-as-a-Service funktioniert wie ein legitimes Start-up: skalierbar, benutzerfreundlich, gewinnorientiert. Die Verwendung vertrauter Markenlogos und psychologisch raffinierter Dringlichkeitsszenarien macht diese SMS-Kampagnen hocheffektiv.

Google setzt nach eigenen Angaben KI-Systeme ein, um verdächtige Muster in SMS, MMS und RCS-Nachrichten zu erkennen. Doch auch Nutzer müssen wachsam bleiben: Keine seriöse Organisation fordert per SMS zur sofortigen Eingabe sensibler Daten auf.

Der lange Kampf geht weiter

So bedeutend der Schlag gegen Lighthouse auch ist – das Problem ist damit nicht gelöst. Kriminelle Organisationen sind anpassungsfähig, formieren sich neu und entwickeln ihre Taktiken weiter. Googles Vorgehen sendet dennoch ein deutliches Signal: Tech-Konzerne gehen in die Offensive, um ihre Nutzer und Marken zu schützen.

Parallel zur Klage unterstützt Google drei überparteiliche Gesetzentwürfe im US-Kongress. Der GUARD Act soll Senioren besser schützen, der Foreign Robocall Elimination Act gegen ausländische Betrugsanrufe vorgehen, und der SCAM Act würde Behörden helfen, großangelegte Betrugszentren im Ausland zu identifizieren und auszuheben.

Diese Doppelstrategie aus direkter Rechtsaktion und legislativer Reform könnte tatsächlich einen Unterschied machen. Denn eins ist klar: Das Problem kostet Verbraucher jährlich Milliarden – und erfordert mehr als punktuelle Gegenwehr.

PS: Sie möchten Ihr Smartphone sofort besser schützen? Der kostenlose Ratgeber fasst die fünf praxisnahen Maßnahmen zusammen — von App‑Rechten über sichere Browser‑Einstellungen bis zur Erkennung gefälschter SMS‑Links. Die Checklisten helfen Ihnen, in wenigen Minuten kritische Einstellungen zu prüfen, und enthalten leicht umsetzbare Schritte für WhatsApp, Online‑Banking und PayPal. Jetzt Gratis-Schutzpaket für Android anfordern