Herold

De svindler fra Kina – ofrene er fra hele verden

Kilde: NRK Author: Martin Gundersen Published: 2026-04-02 14:21:46
De svindler fra Kina – ofrene er fra hele verden

– Smart å ikke ha noen kinesiske svindelofre, sier Kina-ekspert.

NRK avslørte i fjor hvem som stod bak det populære svindelprogrammet «Magic Cat». Dataprogrammet ble brukt til å lure hundretusener til å gi fra seg bankkortdetaljer og sikkerhetskoder.

Nordmenn som besøkte lurenettsidene laget av programvaren trodde de oppga betalingsinformasjon til Posten eller Autopass. Slik kunne de kriminelle tømme bankkort for penger ved å kjøpe luksusprodukter og gavekort.

Nå kan NRK fortelle at mange av svindlerne oppholdt seg i Kina mens de svindlet folk i resten av verden.

NRK har tidligere omtalt at over 600 svindlere har brukt «Magic Cat». Over 300 svindlere har testet programvaren fra enten Kina eller Hongkong, viser en ny analyse gjort av NRKs mediepartner Bayerischer Rundfunk. Samtidig er det tilsynelatende få eller ingen svindelofre fra Kina.

Svindelprogramvaren tilbød også lurenettsider som etterliknet selskaper og organisasjoner i mer enn 130 land, men ikke Kina.

IKKE OVERRASKET: Kina-ekspert Antonia Hmaidi er ikke overrasket over at sporene leder til Kina.

– Hvis du vil operere uforstyrret fra Kina og oppholde deg i landet så er det smart å ikke ha noen kinesiske svindelofre, sier Kina-ekspert Antonia Hmaidi.

Hmaidi er senior analytiker ved Mercator Institute for China Studies (Merics) in Berlin. Hun mener kinesiske myndigheter kunne gjort mer for å begrense omfanget av svindel fra Kina.

Denne artikkelen inngår i mediesamarbeidet «Darcula Exposed». Tyske Bayerischer Rundfunk og franske Le Monde inngår i mediesamarbeidet ledet av NRK.

Avslørt av testing

Svindelprogrammet Magic Cat loggfører alt potensielle svindelofre gjør på lurenettsidene. Denne informasjonen har sikkerhetsselskapet Mnemonic fått tak i og delt med NRK og våre mediepartnere.

Der vanlige svindelofre legger igjen sitt ekte telefonnummer og bostedsadresse, legger svindlerne igjen informasjon som «Test» eller «123345». Programvaren noterer også ned den besøkendes IP-adresse.

Om dataene og analysen

  • Bayerischer Rundfunk (BR) har analysert informasjon fra svindelprogramvaren «Magic Cat». Informasjonen stammer fra tidsrommet desember 2023 til juni 2024.
  • Totalt viser informasjonen at mer enn 13 millioner brukere har besøkt en lurenettside, over 884.000 har gitt fra seg kortinformasjon, og over 180.000 har gitt fra seg sikkerhetskoder.
  • Det norske sikkerhetsselskapet Mnemonic har hentet inn dataene og delt dem med mediesamarbeidet.
  • For å teste at svindelprogrammet fungerer slik det skal, tester svindlerne ofte programmet på seg selv. I analysen så BR på hvilke land en svindelnettside rettet seg mot, og om nettsiden ble testet av brukere fra et annet land i forkant.
  • Det er mulig at IP-adressene kan ha blitt maskert ved bruk av VPN eller tilsvarende teknologi, men BR mener i sin analyse at det er lite sannsynlig at svindlerne da ville valgt Kina som exit-lokasjon. Oppslag mot databaser som viser om en IP-adresse kan knyttes til en VPN-tjeneste ga få treff (0.01%) på de aktuelle IP-adressene. Den relevante traffikken for analysen kom i de fleste tilfellene fra mobiltelefoner.

Ved de aller første brukerne av en lurenettside dukket det opp et mønster – en stor andel av svindlerne hadde IP-adresser tilknyttet Kina eller Hongkong.

NRK deltok i fjor på et svindelkurs i regi av svindleren «x66». Han var ikke bekymret for å komme i trøbbel med kinesiske myndigheter.

– Så lenge du ikke rører Kinas nasjonale interesser, så vil ikke politiet bry seg, skrev x66.

NRK har forelagt den kinesiske ambassaden i Norge funnene fra dataanalysen.

I en uttalelse oppgir ambassaden at kinesiske myndigheter jobber med å bekjempe digital svindel og vil hjelpe hjelpe norske myndigheter dersom de får en forespørsel.

– Folk i alle land, inkludert Kina, har blitt ofre for digital svindel, skriver ambassaden.

De fremhever at de nylig har aksjonert mot flere kriminelle gjenger som opererer internasjonalt.

Gikk under jorden

NRK avdekket i fjor at den kinesiske statsborgeren Yucheng C. benyttet det kriminelle kallenavnet «Darcula» og stod bak svindelprogrammet Magic Cat.

SLETTET KONTOER: Etter NRKs artikler ble den daværende versjonen av Magic Cat lagt ned og Darcula-profilen på Telegram ble slettet.

Det førte til at svindelprogrammet ble stengt ned og Darcula gikk under jorda. Siden har det blitt lansert nyere versjoner av Magic Cat som tilsynelatende selges i mer lukkede fora.

Yucheng C. og hans medsammensvorne ble i desember saksøkt av Google.

Slik har NRK jobbet med å avsløre melding-svindlerne

Det norske IT-sikkerhetsselskapet Mnemonic begynte i desember 2023 å undersøke svindelnettverket rundt programvaren Magic Cat.

Selskapet delte våren 2024 sine innledende funn med NRK.

NRK har verifisert funnene og arbeidet videre med å avdekke hvem som står bak, og metodene de bruker når de svindler.

Mnemonic har ikke fått betalt av NRK eller gjort arbeid på oppdrag for redaksjonen, men NRK har diskutert metoder og funn i arbeidet med å kartlegge svindelnettverket.

NRK har brukt en dekkprofil som har gitt oss mulighet til å følge svindelgrupper på Telegram fra innsiden. Vi har oversatt fra kinesisk og lest over 40.000 chatmeldinger fra flere svindelgrupper på meldingsappen Telegram, for å forstå hvordan de opererer.

NRK har kjøpt tilgang til svindel-programmet Magic Cat for å undersøke hvordan det fungerer. Prisen var 138 dollar, noe som tilsvarer like rundt 1400 kroner, og tilgangen varte i en uke.

Vi har også betalt for tilgang til svindlernes kurs i hvordan man gjennomfører phishing-operasjoner. Prisen for kurset var 1300 dollar.

En rekke kontoer på sosiale medier og andre nettbaserte tjenester er undersøkt for å kartlegge x667788x, Darcula og andre i svindelnettverket.

I tillegg har NRK gått gjennom flere hundre bilder og videoer delt av Telegram-brukeren x667788x for å lokalisere og identifisere ham.

NRK har analysert informasjon som totalt 611 svindeloperatører har lurt til seg fra folk i hele verden. Svindeloperatørene har samlet dette inn ved å sende tekstmeldinger med lenke til en lure-nettside, i en periode på syv måneder, fra 31. oktober 2023 til 9. juni 2024. Analysen er gjort for å kartlegge omfanget av tekstmeldingssvindel både i Norge og andre land.

Høsten 2024 snakket NRK med rundt 140 personer som står oppført med personlig informasjon som navn, adresse og kortdetaljer på svindlernes lister. Samtalene bekreftet at informasjonen på svindlernes lister er reell og er hentet inn gjennom tekstmeldinger med lenke til lure-nettsider.

NRK har analysert flere tusen kort-transaksjoner fra bank og kreditt-kort som står oppført på svindlernes lister og identifisert mistenkelige trekk.

NRK har ikke kunnet fastslå det totale antallet nordmenn som har blitt svindlet av nettverket rundt Darcula, eller det totale beløpet svindlerne har stjålet fra nordmenn.

NRK har våren 2025 delt funn og deler av datagrunnlaget med de tyske allmennkringkasterne Bayerischer Rundfunk (BR) og ARD, samt den franske avisen Le Monde. Journalister fra disse mediene har bistått NRK i avsluttende research. Én reporter fra BR reiste sammen med NRK til Bangkok våren 2025.

Read Original Article ← Back to Articles

🏷️ Extracted Entities (23)

Kina (entity) Bayerischer Rundfunk BR (organization) Darcula Exposed (entity) IP (entity) Magic Cat (person) Telegram (entity) Kortsvindel 📁 (category) Norge 📁 (category) Svindelsentralen 📁 (category) Antonia Hmaidi (person) Hongkong (entity) Le Monde (person) Mnemonic (entity) Norge (entity) VPN (entity) ARD (entity) Autopass (entity) Bangkok (place) Berlin (place) Google (entity) Posten (entity) Test (entity) Yucheng C (person)

📊 Metadata

Category: Svindelsentralen, Kortsvindel, Norge