Cyberkriminalität: Internationale Ermittlungen von BA und fedpol führen zu Verurteilung wegen Realtime-Phishing in England

Im Juli 2022 eröffnete die Bundesanwaltschaft (BA) ein Strafverfahren gegen Unbekannt wegen des Verdachts des betrügerischen Missbrauchs einer Datenverarbeitungsanlage (Art. 147 Abs. 1 i.V.m. Abs. 2 Strafgesetzbuch, StGB) im Zusammenhang mit einer umfangreichen Phishing-Serie. Im Vorfeld hatten bereits mehrere kantonale Staatsanwaltschaften im gleichen Zusammenhang in rund 30 Fällen Verfahren eröffnet, welche die BA in der Folge übernahm und in ihrem Verfahren vereinigte. Im August 2023 wurde das Strafverfahren infolge der erfolgreichen Identifikation des Entwicklers und Vertreibers des Phishing-Kits auf diese Person ausgedehnt.

Realtime-Phishing im grossen Stil

Von Mai 2022 bis September 2022 erstellte und verwendete eine unbekannte Täterschaft mehrere gefälschte Login-Webseiten (Phishing-Seiten) verschiedener Schweizer Banken. Dabei verwendete sie ein sogenanntes Phishing-Kit. Geschädigt wurden die Bankkunden, indem sie über eine Google-Suche auf die dort als Anzeige geschalteten Phishing-Seiten gelangten und versuchten, sich in ihr vermeintliches E-Banking-Konto einzuloggen. In der Folge wurden ihre E-Banking-Zugangsdaten im Hintergrund abgefangen, was es der Täterschaft ermöglichte, sich mit den gestohlenen Zugangsdaten in das E-Banking-Konto der Geschädigten einzuloggen und die Zwei-Faktor-Authentifizierung auszulösen. Da die Geschädigten nach wie vor im Glauben waren, sich auf der echten Webseite der Bank zu befinden, authentifizierten sie das Login mittels Eingabe des per SMS zugestellten Authentifizierungscodes auf der Phishing-Seite, wodurch die Täterschaft auch den Authentifizierungscode erhielt. Damit gelang es ihr, sich erfolgreich in das E-Banking-Konto der Geschädigten einzuloggen und bei der Bank ein zusätzliches Gerät für die Bestätigung der Zwei-Faktor-Authentifizierung zu registrieren. Anschliessend konnte sich die Täterschaft ohne weitere Aktionen seitens der Geschädigten in deren E-Banking-Konto einloggen und Zahlungen ohne deren Wissen und Einverständnis auslösen. Die dadurch entstandene Deliktsumme im Schweizer Strafverfahren beträgt rund CHF 2.4 Millionen.

Erfolgreiche Kooperation mit Grossbritannien, Europol und Eurojust

Dank intensiven Ermittlungen der BA und fedpol konnte im Verlaufe des Verfahrens ein britischer Staatsangehöriger als Entwickler und Vertreiber des Phishing-Kits identifiziert und lokalisiert werden. Die darauffolgende enge Zusammenarbeit von BA und fedpol mit Europol, Eurojust und den britischen Strafverfolgungsbehörden ermöglichte es, den Entwickler und Verkäufer des verwendeten Phishing-Kits in Grossbritannien zu verhaften und zur Rechenschaft zu ziehen. Da die britischen Behörden ein ähnlich gelagertes Verfahren gegen diese Person führten, übernahmen sie auf entsprechendes Ersuchen der BA das Schweizer Verfahren und führten dieses gegen den Entwickler und Vertreiber in Grossbritannien fort. Die BA stellte ihr Strafverfahren in der Folge ein. Am 23. Juli 2025 wurde der Beschuldigte in Grossbritannien nun wegen seiner Taten zu einer Freiheitsstrafe von sieben Jahren verurteilt (Medienmitteilung des Crown Prosecution Services). Dieser Erfolg zeigt die Effektivität und Wirksamkeit internationaler Zusammenarbeit im Kampf gegen die stetig zunehmende Cyberkriminalität.