Thought Leadership
Group-IB entlarvt ein Betrugs-Netzwerk in Australien und den USA. Mit Deepfakes und 208 Fake-Plattformen wurden über 187 Millionen Dollar erbeutet.
Ein Untersuchungsbericht des Cybersicherheitsunternehmens Group-IB legt die Strukturen eines hocheffizienten Betrugs-Ökosystems offen, das im vergangenen Jahr Schäden in Milliardenhöhe verursacht hat. Allein in Australien verloren Bürger im Jahr 2025 rund 837,7 Millionen Dollar durch Investmentbetrug. Dies entspricht mehr als einem Drittel des gesamten gemeldeten Betrugsschadens von 2,18 Milliarden Dollar. In den Vereinigten Staaten meldeten Verbraucher laut Federal Trade Commission (FTC) Verluste in Höhe von 7,9 Milliarden Dollar bei einer mittleren individuellen Schadenssumme von über 10.000 Dollar. Die Ermittler identifizierten zwei zentrale Taktiken: koordinierte Kursmanipulationen an realen Börsen (Pump-and-Dump) und ein Netzwerk aus über 200 gefälschten Kryptowährungs-Plattformen.
Deepfake-Imitationen bekannter Finanzexperten
Die Untersuchung zeigt, dass moderne Betrugsoperationen auf industrielle Skalierbarkeit setzen. Ein Kernelement der Täuschung ist der Einsatz von Deepfake-Technologie. Angreifer nutzen dabei das Bildmaterial und die Stimmen bekannter Finanzexperten und Ökonomen, um gefälschte Werbeanzeigen auf Plattformen wie Facebook zu schalten. Diese Anzeigen sind oft nur wenige Stunden aktiv und nutzen Geo-Targeting, um gezielt Opfer in Australien oder den USA anzusprechen.
Sobald ein Nutzer auf die Anzeige klickt, erfolgt eine Umleitung zu WhatsApp-Konten, die ebenfalls die Identität der Finanzexperten vortäuschen. Allein im Fall eines bekannten australischen Ökonomen identifizierte Group-IB über 20 gefälschte WhatsApp-Profile, die unter zentraler Kontrolle einer organisierten Gruppe zu stehen scheinen. Diese Gruppen dienen dazu, das Vertrauen der Opfer zu gewinnen und sie auf eine spätere Marktmanipulation vorzubereiten.
Mechanik koordinierter Kursmanipulationen (Pump-and-Dump)
In den WhatsApp-Koordinationsgruppen erhalten die Teilnehmer präzise Anweisungen für den Kauf spezifischer Aktien an legitimen Handelsplätzen wie der NASDAQ. Die Täter nutzen dabei oft Small-Cap-Aktien mit geringem Handelsvolumen. Durch den koordinierten Kaufdruck von 500 bis 3.000 Teilnehmern, die jeweils kleine bis mittlere Beträge investieren, wird der Aktienkurs künstlich in die Höhe getrieben.
Eine Analyse einer beobachteten NASDAQ-Aktie verdeutlicht die Hebelwirkung: Ein koordinierter Kapitalzufluss von 1,5 bis 3 Millionen Dollar reichte aus, um eine Kursbewegung von 12,4 % zu erzeugen. Sobald der Kurs seinen Peak erreicht, verkaufen die Hintermänner ihre zuvor günstig erworbenen Anteile. Der Kurs bricht daraufhin massiv ein, im dokumentierten Fall um 42,4 % unter den Einstiegspreis, was für die gutgläubigen Investoren den Totalverlust bedeutet. Innerhalb der Gruppen wird Skepsis durch „Shill-Accounts“ unterdrückt, die gefälschte Gewinne posten und so den Gruppenzwang erhöhen.
Das Netzwerk aus 208 gefälschten Investment-Plattformen
Die zweite Säule des Betrugs-Ökosystems besteht aus einer weitreichenden Infrastruktur gefälschter Kryptowährungs-Plattformen. Mittels Graph-Analyse konnte Group-IB nachweisen, dass eine einzige Plattform namens tethergloballtd[.]com über die IP-Adresse mit 208 weiteren betrügerischen Domains verknüpft ist. 23 dieser Plattformen nutzen zudem identische Kontaktinformationen, was auf eine gemeinsame operative Leitung hindeutet.
Diese Plattformen imitieren professionelle Finanzdienstleister, nutzen teilweise gefälschte Registrierungsnummern der australischen Aufsichtsbehörde ASIC und bieten unrealistisch hohe Renditen. Die Opfer durchlaufen gefälschte KYC-Prozesse (Know Your Customer), was den Tätern zusätzlich wertvolle persönliche Daten liefert. Während kleine Auszahlungen zu Beginn oft genehmigt werden, um Vertrauen aufzubauen, werden größere Abhebungen systematisch blockiert. Opfer werden dann mit erfundenen Steuerforderungen, Compliance-Gebühren oder Kontoführungsentgelten zu weiteren Zahlungen genötigt.
„Zweistufen-Betrug“ als Risiko
Group-IB schätzt den Gesamtumsatz dieses identifizierten Clusters auf mindestens 187 Millionen US-Dollar. On-Chain-Analysen der Kryptowährungsströme zeigen, dass die Täter die gestohlenen Gelder oft direkt an zentralisierte Börsen (CEX) transferieren, die KYC-Standards unterliegen. Bemerkenswert ist, dass die Angreifer dabei häufig auf Verschleierungstechniken verzichten, was Ermittlungsbehörden theoretisch Hebelpunkte bietet, um die Empfänger der Gelder zu identifizieren.
Ein besonderes Risiko stellt der sogenannte „Zweistufen-Betrug“ dar: Sobald eine Plattform verschwindet, werden die Opfer von angeblichen „Recovery Firms“ kontaktiert. Diese versprechen gegen eine Vorabgebühr, die verlorenen Gelder wiederzubeschaffen. Oft handelt es sich hierbei um dieselben Akteure, wodurch die Betroffenen ein zweites Mal geschädigt werden.
Abwehrstrategie durch Cyber Fraud Fusion
Um gegen diese industriell organisierten Netzwerke vorzugehen, empfiehlt Group-IB den Ansatz der „Cyber Fraud Fusion“ (CFF). Dieser vereint Digital Risk Protection (DRP) zur Entdeckung gefälschter Anzeigen, Threat Intelligence (TI) zur Verfolgung von Finanzflüssen und Fraud Protection (FP) zur Überwachung verdächtiger Transaktionen in Echtzeit.
Anstatt isoliert auf Vorfälle zu reagieren, ermöglicht dieser koordinierte Ansatz, Betrugsinfrastrukturen bereits in der Entstehungsphase zu zerschlagen. Finanzinstitute und Handelsplattformen müssen ihre Daten zunehmend sektorenübergreifend austauschen, um Muster wie die koordinierte Kaufdynamik im Vorfeld zu erkennen. Die Untersuchung unterstreicht, dass die Architektur des Betrugs hochgradig vernetzt ist. Die Architektur der Verteidigung muss dies ebenfalls werden.
