Phis­hing per Paket-SMS: Pro­fes­sio­nel­ler Betrug durch „Magic Cat“

Viele Nutzer er­hal­ten re­gel­mä­ßig SMS mit dem Hinweis, ein Paket könne nicht zu­ge­stellt werden. Was wie eine harm­lo­se Spam-Nach­richt wirkt, ent­puppt sich bei ge­naue­rem Hin­se­hen als Teil einer in­ter­na­tio­na­len, pro­fes­sio­nell or­ga­ni­sier­ten Phishing-Infrastruktur.

Im Zentrum steht die Platt­form „Magic Cat“, ein Phis­hing-as-a-Service-System, das Kri­mi­nel­len welt­weit die Durch­füh­rung täu­schend echter Be­trugs­ver­su­che er­mög­licht. Die Soft­ware ge­ne­riert Phis­hing-We­b­­sei­­ten im Design be­kann­ter Pa­ket­diens­te – in über 130 Ländern, in zahl­rei­chen Spra­chen und mit au­to­ma­ti­sier­ter Wei­ter­lei­tung ge­stoh­le­ner Daten. Die Täter ver­schi­cken mas­sen­haft SMS, iMes­sa­ges oder RCS-Nach­rich­­ten und können in Echt­zeit ver­fol­gen, wie Be­trof­fe­ne ihre per­sön­li­chen Daten und Kre­dit­kar­ten­in­for­ma­tio­nen ein­ge­ben. Selbst Lösch­ver­su­che werden dokumentiert.

Re­cher­chen unter anderem des Baye­ri­schen Rund­funks und in­ter­na­tio­na­ler Medien belegen, dass die Spur zu einem mut­maß­li­chen Haupt­ak­teur nach China führt. In Deutsch­land wurden seit Ende 2023 bereits fast 20.000 Per­so­nen Opfer dieser Masche – teils mit er­heb­li­chen fi­nan­zi­el­len Schäden.

Da­ten­schutz­recht­li­che Relevanz

Die Platt­form zeigt ein­drück­lich, wie einfach es ge­wor­den ist, au­to­ma­ti­sier­te, ska­lier­ba­re und gleich­zei­tig täu­schend echte Phis­hing-Kam­­pa­­g­nen um­zu­set­zen. Der Schutz per­so­nen­be­zo­ge­ner Daten wird dadurch zu­neh­mend er­schwert – ins­be­son­de­re im mobilen Kontext. Da viele An­grif­fe auf private Geräte zielen, können auch Un­ter­neh­mens­da­ten mit­tel­bar be­trof­fen sein, wenn bei­spiels­wei­se dienst­lich ge­nutz­te Smart­phones oder Tablets nicht aus­rei­chend ge­schützt sind.

Emp­feh­lun­gen für Un­ter­neh­men und Beschäftigte

• Sen­si­bi­li­sie­ren Sie Ihre Mit­ar­bei­ten­den re­gel­mä­ßig für ty­pi­sche Phishing-Muster.

• Prüfen Sie SMS-Nach­rich­­ten und Links stets kri­tisch – ins­be­son­de­re bei an­geb­li­chen Paket- oder Zustellbenachrichtigungen.

• Nutzen Sie tech­ni­sche Schutz­maß­nah­men wie Spam- und URL-Filter, Mobile Device Ma­nage­ment (MDM) und eine zen­tra­le App-Über­­­wa­chung, um dienst­li­che End­ge­rä­te besser abzusichern.

• Melden Sie ver­däch­ti­ge Nach­rich­ten und Da­ten­pan­nen um­ge­hend an Ihre Datenschutz­beauftragte und Ihre IT-Ab­­tei­­lung / Ihren In­for­ma­ti­on Se­cu­ri­ty Officer.

Wei­ter­füh­ren­de Informationen: 

Einen aus­führ­li­chen Bericht zur Magic-Cat-Plat­t­­form und den Er­mitt­lun­gen finden Sie in der Re­cher­che des Baye­ri­schen Rund­funks: 🔗 tagesschau.de – Phis­hing-Betrug durch Magic Cat (zuletzt auf­ge­ru­fen am 06.05.2025).