Thought Leadership
Eine neue Untersuchung deckt Deepfake-Manipulationen und ein Netzwerk aus 208 Krypto-Betrugsseiten auf. Der finanzielle Schaden beläuft sich auf Millionen.
Der internationale Cybersicherheitsdienstleister Group-IB hat die Ergebnisse einer zweistufigen Untersuchung veröffentlicht, die das enorme Ausmaß moderner Investment-Betrugsoperationen verdeutlicht. Die Ermittler legten eine komplexe Infrastruktur offen, die gezielt Privatpersonen in Australien und den Vereinigten Staaten ins Visier nimmt. Die Operationen stützen sich auf eine Kombination aus hochmodernen Deepfake-Technologien zur Marktmanipulation und einem industriell skalierten Netzwerk aus über 200 betrügerischen Handelsplattformen. Schätzungen zufolge generierten die Hintermänner mit diesen Methoden einen Gesamtumsatz von rund 187 Millionen US-Dollar. Die Untersuchung zeigt zudem, wie die Täter ihre Opfer nach dem ersten Diebstahl durch vorgetäuschte Rückhol-Dienste ein zweites Mal ausbeuten.
Kursmanipulation durch täuschend echte Deepfakes
Der erste Teil der Untersuchung dokumentiert ein spezialisiertes Betrugsschema, das auf der gezielten Manipulation von Aktienkursen basiert. Die Täter nutzten Deepfake-Technologie, um die Identität eines prominenten australischen Ökonomen digital zu klonen. Mit diesem künstlich erzeugten Erscheinungsbild wurden Videos und Audiobotschaften erstellt, die über mehr als 20 gefälschte WhatsApp-Konten verbreitet wurden. Das Ziel war es, Anleger zum Kauf von Aktien des Unternehmens EverQuote Inc. (NASDAQ: EVER) zu bewegen. Den Opfern wurde ein Einstiegspreis von 24,79 US-Dollar als lukrative Investition empfohlen.
Analysten von Group-IB begleiteten die gesamte Angriffskette verdeckt. Sie beobachteten, wie die konzertierte Aktion den Aktienkurs zunächst auf einen Höchststand von 27,87 US-Dollar trieb. Sobald dieses Niveau erreicht war, stießen die Betreiber ihre eigenen Anteile ab, woraufhin der Kurs einbrach. Am Ende der Beobachtungsphase lag der Wert der Aktie bei lediglich 14,27 US-Dollar. Dies entsprach einem Verlust von 42,4 Prozent für die Anleger, die der Empfehlung der Deepfake-Identität gefolgt waren. Dieses Vorgehen folgt dem klassischen Muster des Pump-and-Dump, wurde hier jedoch durch die technologische Täuschung auf eine neue Vertrauensebene gehoben.
Verbindung zu 208 betrügerischen Domains
Im zweiten Teil der Untersuchung nutzten die Experten fortschrittliche Graph-Analysen, um die technische Infrastruktur hinter den Betrugsseiten zu kartieren. Ausgehend von einer einzigen verdächtigen Kryptowährungs-Plattform konnten die Ermittler eine Verbindung zu insgesamt 208 betrügerischen Domains herstellen. Diese Webseiten sind so konzipiert, dass sie seriösen Investment-Portalen täuschend ähnlich sehen. Sie werben mit hohen Renditeversprechen und nutzen gefälschte Benutzeroberflächen, um den Opfern wachsende Kontostände vorzugaukeln, während die eingezahlten Gelder in Wirklichkeit direkt in die Wallets der Betreiber fließen.
Die Analyse ergab, dass die durchschnittliche Einzahlung der Opfer etwa 200 US-Dollar betrug. Durch die massenhafte Verbreitung der 208 Domains und die Automatisierung der Anwerbung konnte das Netzwerk dennoch einen geschätzten Gesamtumsatz von 187 Millionen US-Dollar erzielen. Die Graph-Analyse offenbarte zudem, dass die Domains über gemeinsame Server-Infrastrukturen, einheitliche Quellcode-Bausteine und identische Zahlungs-Gateways miteinander verknüpft sind. Dies deutet auf eine zentral organisierte Betrugsökonomie hin, in der die kriminelle Infrastruktur wie eine Dienstleistung bereitgestellt wird.
Weltweites Krypto-Betrugsnetzwerk: Vorgetäuschte Rückhol-Dienste
Besonders schwerwiegend ist die Erkenntnis, dass die Betrüger ihre Opfer systematisch ein zweites Mal angreifen. Sobald eine der 208 Plattformen verschwindet und die Nutzer feststellen, dass sie keinen Zugriff mehr auf ihr Kapital haben, treten dieselben Hintermänner unter neuem Namen auf. Sie geben sich als spezialisierte Wiederherstellungsfirmen (Recovery Firms) aus, die angeblich darauf spezialisiert sind, Krypto-Vermögen von Betrügern zurückzuholen.
In dieser Phase des Betrugs werden die Geschädigten kontaktiert und gegen die Zahlung von Vorabgebühren oder Steuern zur Rückholung ihrer Gelder aufgefordert. Da die Täter bereits über alle notwendigen Kontaktdaten und Informationen über die ursprünglichen Einzahlungen verfügen, können sie den Opfern gegenüber sehr überzeugend auftreten. Die Untersuchung stellt klar, dass es sich hierbei um eine rein betrügerische Reaktivierung der Opfer handelt. Eine tatsächliche Rückholung der Gelder findet nicht statt; stattdessen werden die bereits geschädigten Personen um weitere Beträge betrogen.
Skepsis bei Aktientipps über private Nachrichtenkanäle
Die Veröffentlichung des zweiteiligen Berichts soll sowohl Unternehmen als auch Privatpersonen für die neuen technologischen Gefahren sensibilisieren. Insbesondere die Nutzung von Messengerdiensten wie WhatsApp zur Verbreitung von Anlageempfehlungen durch KI-generierte Identitäten stellt eine erhebliche Bedrohung für den Finanzmarkt dar.
Die Experten raten dringend zur Skepsis, wenn bekannte Persönlichkeiten über private Nachrichtenkanäle spezifische Aktientipps geben. Zudem sollten Krypto-Plattformen vor einer Einzahlung gründlich auf ihre Lizenzierung und historische Reputation geprüft werden. Die Ermittlungsergebnisse wurden den zuständigen Strafverfolgungsbehörden in Australien und den USA zur Verfügung gestellt, um die Abschaltung der verbleibenden aktiven Domains voranzutreiben und die Finanzströme der Hintermänner zu blockieren.
