Weltweite Polizeioperation legt einen KI-gestützten Abo-Dienst für Cyberkriminalität lahm. Er verursachte Schäden von 40 Millionen US-Dollar.
Microsoft hat am Mittwoch den globalen Cybercrime-Abo-Dienst RedVDS zerschlagen, der weltweit Betrugsschäden in Millionenhöhe verursacht hat.
Für 24 US-Dollar (21 Euro) im Monat bot RedVDS die Infrastruktur für Phishing und Betrug im großen Stil. Seit September 2025 waren Hunderttausende Microsoft-Konten betroffen.
Der koordinierte Einsatz umfasst Zivilklagen in den USA und im Vereinigten Königreich sowie Serverbeschlagnahmen durch deutsche und europäische Strafverfolgungsbehörden.
Europäische Auswirkungen und grenzüberschreitende Reaktion
Neben der Klage im Southern District of Florida hat Microsofts Digital Crimes Unit erstmals auch im Vereinigten Königreich einen rechtlichen Schritt eingeleitet.
Zwischen September 2025 und Januar 2026 trafen RedVDS-gestützte Cyberangriffe außerhalb Nordamerikas zahlreiche Betroffene in Europa. Besonders betroffen waren das Vereinigte Königreich, Frankreich, Deutschland, Italien und Spanien.
Im Fokus standen Grund- und weiterführende Schulen, die Konsumgüterbranche und andere professionelle Dienstleistungen.
Die gemeinsam mit internationalen Strafverfolgern, darunter deutsche Behörden und Europol, durchgeführte Operation hat zentrale Infrastruktur beschlagnahmt und den RedVDS-Marktplatz vom Netz genommen.
Seit März 2025 summiert sich die gemeldete Betrugsschadenssumme in den USA durch RedVDS-unterstützte Aktivitäten auf rund 40 Millionen US-Dollar (34 Millionen Euro). Die tatsächliche Zahl dürfte höher liegen, da nicht alle Fälle gemeldet werden.
Wer waren die Opfer?
Zu den Mitklägern an der Seite von Microsoft zählt H2-Pharma aus Alabama. Das Pharmaunternehmen verlor Gelder, die für lebensrettende Krebstherapien, Medikamente gegen psychische Erkrankungen und Allergiemittel für Kinder vorgesehen waren.
„Ein Opfer eines Betrugs zu werden, darf niemals stigmatisieren“, sagte Microsoft in einer Mitteilung. „Diese Angriffe werden von organisierten, professionellen Kriminellen ausgeführt, die legitime Kommunikation zwischen vertrauenswürdigen Parteien abfangen und manipulieren.“
Wie funktionierte das?
RedVDS war Teil des wachsenden Ökosystems für Cybercrime-as-a-Service und bot Zugriff auf günstige virtuelle Computer mit unlizenzierter Software, darunter Windows.
So konnten Kriminelle anonym und grenzüberschreitend agieren: Phishing-Mails verschicken, Betrugsinfrastruktur betreiben und komplexe Maschen aufsetzen.
Täter kombinierten den Dienst häufig mit generativen KI-Werkzeugen. Sie halfen, lukrative Ziele zu identifizieren und realistische E-Mail-Verläufe zu erzeugen, die echte Korrespondenz nachahmen.
In vielen Fällen nutzten Angreifer Tools für Gesichtstausch, Videomanipulation und Stimmklonen, um Personen zu imitieren und Opfer zu täuschen.
Immobilienbetrug
Zu den häufigsten RedVDS-Angriffen gehörte Zahlungsumleitungsbetrug, auch bekannt als Business Email Compromise.
Angreifer verschafften sich unbefugten Zugang zu E-Mail-Konten, überwachten Gespräche und warteten auf den passenden Moment, um Zahlungen umzuleiten, indem sie sich als vertrauenswürdige Parteien ausgaben.
Der Dienst wurde auch massiv bei Immobiliengeschäften eingesetzt, um Zahlungen umzulenken. Diese Form des cybergestützten Betrugs wächst besonders schnell.
Angreifer kompromittierten die Konten von Maklern, Treuhanddienstleistern und Titelgesellschaften. So verschickten sie gefälschte Zahlungsanweisungen, um Abschlussgelder und Treuhandzahlungen umzuleiten.
Koordinierte europäische Strafverfolgung
Die rechtlichen Schritte von Microsoft werden durch enge Zusammenarbeit mit Strafverfolgungspartnern weltweit gestützt, auch in Europa.
Die Generalstaatsanwaltschaft Frankfurt am Main, Zentralstelle zur Bekämpfung der Internetkriminalität, und das Landeskriminalamt Brandenburg beschlagnahmen einen zentralen Server, der zum Betrieb von RedVDS genutzt wurde.
Damit übernehmen die deutschen Behörden die Kontrolle über den Hauptserver, über den RedVDS seine Website betrieben hat. Der Ort im Netz, an dem sich Kunden registrierten, zahlten und auf die Werkzeuge zugriffen, ist damit offline.
Das European Cybercrime Centre von Europol arbeitet mit der Digital Crimes Unit zusammen, um zahlreiche Server in Europa abzuschalten, die Kriminelle über RedVDS aktiv nutzten. So wird das breitere Netzwerk gestört, das Betrugsmaschen unterstützte, auch jenseits der Hauptseite.
Schutz vor Betrug
Microsoft empfiehlt mehrere Schritte, um das Risiko zu senken: Tempo herausnehmen und Dringlichkeit bei Zahlungsanforderungen hinterfragen. Anfragen zusätzlich über bereits bekannte Kontaktwege oder Nummern verifizieren. Mehrfaktor-Authentifizierung aktivieren. Auf subtile Änderungen in E-Mail-Adressen achten. Software aktuell halten. Verdächtige Aktivitäten der Polizei melden.