Team Cymru kartiert das globale Netzwerk der Kreditkarten-Betrüger

Ein neuer Bericht enthüllt die technische Infrastruktur hinter einem weltweiten Netzwerk illegaler Kreditkarten-Märkte. Die Erkenntnisse liefern Strafverfolgern eine Blaupause für Gegenmaßnahmen.

Cybersecurity-Experten haben die technische Basis eines weltweiten Netzwerks illegaler Kreditkarten-Märkte aufgedeckt. Eine Studie des Unternehmens Team Cymru identifizierte 85 spezifische Domains und 28 IP-Adressen, die als Handelsplattformen für gestohlene Kartendaten dienen. Die Ergebnisse, die diese Woche veröffentlicht wurden, bieten Strafverfolgungsbehörden und Finanzinstituten eine seltene, detaillierte Karte der Infrastruktur, die globalen Betrug in Millionenhöhe ermöglicht.

Die „kugelsichere“ Infrastruktur der Cyberkriminellen

Die Untersuchung, die zwischen Juli und Dezember 2025 durchgeführt wurde, zeigt, wie Cyberkriminelle ihre Operationen trotz häufiger Razzien aufrechterhalten. Laut dem Bericht stützt sich die identifizierte Infrastruktur stark auf sogenannte „Bulletproof“-Hosting-Provider. Diese Dienste ignorieren bewusst Missbrauchsmeldungen und weigern sich, mit internationalen Ermittlern zusammenzuarbeiten.

Passend zum Thema: Ermittler finden Netzwerke, die gestohlene Kreditkartendaten systematisch handeln. Viele Unternehmen und Finanzdienstleister sind für solche Infrastrukturangriffe nicht ausreichend vorbereitet. Ein kostenloses E‑Book erklärt aktuelle Bedrohungsbilder, wie Angreifer Bulletproof‑Hosting und IoCs nutzen, und liefert sofort umsetzbare Maßnahmen, um Ihre Netzwerke, Logins und Zahlungs-APIs zu schützen. Ideal für IT‑Verantwortliche und Sicherheitsteams. Gratis-Guide „Cyber Security Awareness Trends“ sichern

Als wiederkehrender Gastgeber solcher Operationen wurde der Anbieter Privex ausgemacht, der sich als „datenschutzorientierter“ Infrastrukturdienst vermarktet. Solche Provider erlauben es Kunden oft, virtuelle Server (VPS) anonym zu mieten – ohne Identitätsnachweis und gegen Zahlung in Kryptowährung. Diese Anonymität erschwert es den Behörden erheblich, die Personen hinter den Marktplätzen zu verfolgen. Indem die Betreiber ihre Login-Portale und Foren auf diesen widerstandsfähigen Servern hosten, stellen sie sicher, dass ihre „Shops“ online bleiben, selbst wenn einzelne Domains beschlagnahmt werden.

Strategische Domain-Wahl: .SU, .CC und .RU

Ein auffälliger Aspekt der Erkenntnisse ist die anhaltende Nutzung spezifischer Top-Level-Domains (TLDs), um Abschaltungen zu entgehen. Die Untersuchung hebt eine strategische Vorliebe für .su, .cc und .ru-Domains unter den Betreibern hervor.

Die Domain .su, ursprünglich der Sowjetunion zugewiesen, ist Jahrzehnte nach deren Auflösung noch aktiv. Experten zufolge ist sie aufgrund ihrer notorisch laschen Registrierungspolitik und mangelnder effektiver Aufsicht zu einem Hort für Cyberkriminalität geworden. Die .cc-Domain (technisch den Kokosinseln zugeordnet) ist ebenfalls beliebt: Sie ist günstig in großen Mengen zu registrieren und dient im Underground-Jargon zugleich als praktische Abkürzung für „Credit Card“.

Die Nutzung von .ru-Domains bietet einen anderen Vorteil: Sie isoliert die Seiten vor westlichen Rechtsverfahren. Server und Domains, die in Russland registriert sind, liegen oft außerhalb der Reichweite von US- oder europäischen Gerichtsbeschlüssen. Dies schafft einen juristischen Schutzschild, der grenzüberschreitende Ermittlungen erheblich erschwert.

Proaktive Erkennung noch vor dem Start

Die Aufdeckung dieser 85 Domains wurde durch eine proaktive Scan-Methode des Forschungsteams ermöglicht. Statt auf Betrugsmeldungen zu warten, nutzten die Analysten internetweite Fingerprinting-Techniken, um die Kreditkarten-Server in dem Moment zu erkennen, in dem sie online gingen.

Durch das Scannen spezifischer HTTP- und HTTPS-Titel auf den Ports 80 und 443 konnten die Forscher Server identifizieren, die verräterische Schlüsselwörter wie „CVV“, „Dumps“, „Carding“ oder „Shop“ ausstrahlten. Dieser Ansatz ermöglichte es dem Team, die echten IP-Adressen der Server während ihrer ersten Konfigurationsphase zu erfassen – oft noch bevor die Betreiber sie hinter Content Delivery Networks (CDNs) oder Diensten wie Cloudflare verstecken konnten.

Diese Sichtbarkeit vor der vollständigen Verschleierung ist entscheidend. Sobald eine Seite voll operativ und durch ein CDN geschützt ist, wird ihre Ursprungs-IP maskiert, was die physische Lokalisierung extrem erschwert. Die in diesem Zeitfenster der Verwundbarkeit erfassten Daten liefern umsetzbare Informationen, um Hosting-Provider zu kontaktieren oder Datenverkehr auf Netzwerkebene zu blockieren.

Blühender Schwarzmarkt mit festen Preisen

Die heute aufgedeckte Infrastruktur stützt eine blühende Schattenwirtschaft. Die Studie beschreibt, wie diese Plattformen als ausgeklügelte E-Commerce-Seiten funktionieren – komplett mit Warenkörben, Kundensupport und Rückgaberegelungen für „tote“ Karten.

Gestohlene Kreditkartendaten, bekannt als „Dumps“ (vom Magnetstreifen kopiert) oder „CVVs“ (für Online-Käufe), sind eine Ware mit festen Preisen. Die Marktanalyse zeigt, dass die Preise für gestohlene Karten derzeit zwischen 5 und 150 US-Dollar liegen. Die Kosten variieren je nach Kreditlimit, ausgebender Bank und ob zusätzliche Opferdaten wie Geburtsdaten oder Rechnungsadressen enthalten sind, die Identitätsdiebstahl erleichtern. Die 85 identifizierten Domains dienen als Schaufenster für diesen Handel und verbinden Großhändler mit Daten-Dieben und Kleinkriminellen, die die gestohlene Ware „auscashen“.

Ein fortwährendes Katz-und-Maus-Spiel

Die Veröffentlichung dieser Erkenntnisse ist ein bedeutender Schritt für die Verteidiger, doch Experten warnen: Die Lage ist dynamisch. Während die Identifizierung der Domains und IPs unmittelbare Ziele für Abschaltaktionen bietet, sind die Kartengruppen für ihre Widerstandsfähigkeit bekannt.

Branchenanalysten erwarten, dass die Aufdeckung dieser Hosting-Muster die Täter zwingen wird, in den kommenden Monaten zu neuen Infrastruktur-Providern zu migrieren oder komplexere Verschleierungsmethoden zu nutzen. Die von Team Cymru demonstrierte Methodik – die Verfolgung der Infrastruktur-Aufbauphase statt der fertigen Seiten – liefert jedoch eine Blaupause für künftige Ermittlungen. Finanzinstitute werden diese Indikatoren für Kompromittierung (IoCs) voraussichtlich sofort in ihre Betrugserkennungssysteme integrieren. So könnten Verbindungen zu diesen betrügerischen Händlern blockiert werden, noch bevor Transaktionen stattfinden.

PS: Sie möchten Angriffe wie in diesem Bericht frühzeitig erkennen? Der kostenlose Leitfaden zeigt praxisnahe Maßnahmen – von Proaktiv‑Scanning bis zu Phishing‑Abwehr und Mitarbeiterschulungen – damit Sie teure Betrugsfälle verhindern können. Holen Sie sich jetzt konkrete Checklisten und Handlungsschritte für KMU und IT‑Teams. Kostenlosen Cyber-Security-Leitfaden herunterladen