Mit ein paar Klicks zum Totalverlust: Die neuen Maschen der Cyber-Betrüger

Mehrere Hundert Millionen Euro erbeuten Kriminelle jedes Jahr übers Internet von gutgläubigen Anlegern. Was sind ihre Tricks?

Was zu schön klingt, um wahr zu sein, ist meist gelogen. Das klingt pessimistisch, ist im Finanzbereich aber die beste Einstellung, um sich vor Betrug oder unnötigen Risiken zu schützen. Thomas Ulrich* sieht das eigentlich genauso. Schon früher hat er sich bei dubiosen Gewinnversprechen immer gedacht, „dass ja jeder Millionär wäre, wenn das klappen würde“.

Umso erschreckender muss es an diesem Dienstagmorgen für den 58-Jährigen sein, die vergangenen sechs Monate am Telefon zu rekonstruieren. Andererseits ist Ulrich auch schon daran gewöhnt: hat seine Geschichte schon häufig erzählt, zum Beispiel engen Freunden oder seinem Sohn - und schließlich der Polizei. Das war im Dezember 2021, kurz nachdem der baldige Rentner 15.000€ an einen Internet-Betrüger überwiesen hat. „Das ist so eine Geschichte“, sagt Ulrich, „da würde man eigentlich sagen, das kann einfach nicht wahr sein.“

Und sie beginnt so: Thomas Ulrich steht kurz vor der Rente und wie viele seiner Generation fühlt er sich darauf nicht recht vorbereitet. Ein bisschen hat er gespart - aber das soll es noch nicht gewesen sein. Ulrich, der sich selbst als „finanziell nicht sonderlich gut unterwegs“ beschreibt, lernt in dem Messengerdienst Telegram den Krypto-Influencer Julian Hosp kennen - oder zumindest meint er das. Die beiden kommen ins Gespräch, führen Smalltalk, reden irgendwann auch über Ulrichs finanzielle Probleme. Und der 58-Jährige ist überrascht von der Bodenständigkeit dieses jungen Millionärs. „Ich habe mich so geschmeichelt gefühlt, dass sich dieser Mensch meiner Probleme annimmt“, erklärt er. Deswegen folgt Ulrich auch dem Ratschlag seines neuen Chat-Freundes und wendet sich an Gabriella Alana Richard, angeblich eine Bekannte von Julian Hosp, die als Trading- und Krypto-Expertin arbeiten soll. Ulrich kontaktiert sie und bekommt sogleich ein Angebot: Für 15% Provision würde die Expertin für Ulrich mit Kryptowährungen handeln. Von seinem Chat-Kollegen angespornt, sagt Ulrich schließlich zu und investiert 1.500€ auf der Plattform Paragon Traders, die sich auf ihrer Website selbst als „Multi Million Investment Power House“ beschreibt und vorgibt, mehr als 300 professionelle Trader zu beschäftigen. Ein paar Tage später kann Ulrich seinen Augen nicht trauen. 42.700 USD Gewinn werden ihm in seinem Online-Konto ausgewiesen. Der 58-Jährige ist voller Enthusiasmus und will sich seine Gewinne auszahlen lassen. Doch dafür müsse erst einmal 8.000 Euro Steuern bezahlen, schreibt ihm ein Manager von Paragon. Ulrich kratzt das Geld zusammen, einen Teil bekommt er von seinen Schwiegereltern. Doch damit hat es sich noch nicht: Eine weitere Gebühr fällt an, diesmal für die Eröffnung einer Wallet, die für die Auszahlung nötig sei. Ulrich überweist nochmals 3.200€ an die Trader. Statt seines Gewinns bekommt er nur eine weitere Mail: In der Zwischenzeit seien Währungsschwankungen aufgetreten, Ulrich soll nochmals 3.200€ nachschießen. Da kommt die Sache ihm dann doch seltsam vor. Er investiert nichts mehr, informiert sich über Julian Hosp und seine vermeintliche Telegram-Identität - und findet Schritt für Schritt heraus, wie die Dinge eigentlich laufen: Dass hinter dem Account nicht der Multimilliardär steckt. Dass die vermeintliche Traderin eigentlich eine Betrügerin ist, dass sein Geld niemals in Krypto-Währungen geflossen ist und die angeblichen Gewinne ihm nur vorgegaukelt wurden.

„Ich denke, es steckte auch viel Wunschdenken meinerseits dahinter“, resümiert er heute. 

Das klassische Betrugsschema beim „Cybertrading“

So einzigartig Thomas Ulrichs Geschichte auch klingt, sie ist es ganz und gar nicht. 4.865 Straftaten im Zusammenhang mit Kapitalanlagen zählte das Bundeskriminalamt im Jahr 2020, die Dunkelziffer dürfte ungleich höher sein. Erbeutet wurden dabei allein in diesem Bereich 429 Mio. Euro - darunter die 15.000€ von Thomas Ulrich, dessen Fall die Behörde unter den Begriff „Cybertrading“ stellt. Vor allem seit Beginn der Corona-Krise erhalten Institutionen wie das Europäische Verbraucherzentrum vermehrt Anfragen von besorgten Anlegern, Beschwerden oder Hilferufe von geprellten Opfern. Im Kern folgen die Täuschungen stets einem ähnlichen Schema. Das BKA hat diesen „Modus Operandi“ einmal in seinem Bundeslagebericht 2020 skizziert:

Phase 1: Die Gewinnversprechen 

Ganz zu Anfang stehen die typischen utopischen Gewinnversprechen, die mit einer vermeintlichen Kapitalanlage erzielt werden sollen. Sei es mit dem Trading von Kryptowährungen, wie es bei Thomas Ulrich der Fall war, oder aber mit speziellen Zertifikaten und Optionen, durch den Handel mit Währungen (Forex) oder schlichtweg dem Wetten auf Einzelaktien. 

Phase 2: Die Registrierung

Ist das potenzielle Opfer erst einmal von der Glaubwürdigkeit des Angebots überzeugt, folgt im zweiten Schritt meist die Registrierung auf einer vermeintlichen Trading-Plattform. Über einen Link gelangt der Nutzer auf eine Website, wo er seine persönlichen Daten eingibt, um vorgeblich ein Konto oder eine Wallet zu eröffnen.

Phase 3: Die Motivation

Nach der Registrierung wird der „Kunde“ kontaktiert: Ein Manager, Trading-Experte oder der Website-Betreiber selbst motiviert zur ersten Investition, schwärmt noch einmal von den Renditen oder erklärt, mit welcher Methodik oder auch besonderen Software die Gewinne zustande kommen sollen.

Phase 4: Ein erstes erfolgreiches Investment

Ist erst einmal Geld geflossen, ist die Freude erst einmal groß: Es scheint tatsächlich zu funktionieren. Zumindest wird das dem Investor mithilfe einer Betrugssoftware vorgegaukelt, die nichts weiter als manipulierte Kursbewegungen anzeigt. In Wahrheit existieren weder eine Geldanlage noch ein Kundenkonto - das erbeutete Geld wird stattdessen häufig direkt auf verschiedene Auslandskonten transferiert, wo es nur schwer nachverfolgt werden kann. Der „Investor“ wird derweil von seinen „Beratern“ weiter angetrieben, noch mehr Geld zu investieren, dass sich scheinbar zauberhaft zu vermehren scheint. Teilweise werden hier bereits kleinere Summen an vermeintlichem Gewinn ausgeschüttet, um den Investor bei der Stange zu halten - ähnlich wie bei einer Ponzi Scheme.

Phase 5: Error

Der Anleger will sich seine Gewinne ausschütten lassen. Einige Plattformen melden jetzt bereits, dass sie nicht mehr erreichbar sind oder dem Anleger wird mitgeteilt, dass seine Gewinne nun doch wieder eingebrochen sind. Teilweise gelingt es den Betrügern, ihre Opfer noch weiter hinzuhalten. Die Auszahlung wird an Bedingungen geknüpft, an weitere Zahlungen, die für angebliche Steuern, Gebühren oder Provisionen verwendet werden sollen. Häufig fließt noch mehr Geld an die Cybertrader. Gehen skeptische Nachfragen ein, bricht der Kontakt meist ab.

Das ist nur eine Möglichkeit, wie der Betrugsvorgang aussehen kann. Um an das Geld gutgläubiger Privatmenschen zu kommen, nutzen Betrüger die verschiedensten Kanäle und Vorgehensweisen. Vor allem im Bereich Krypto sollten Investoren eine gesunde Skepsis an den Tag legen.

Crypto Phishing: Gib mir deinen Schlüssel und ich mache dich reich

Selbst wer schon länger in der Finanzwelt unterwegs ist, ist nicht davor gefeit, Opfer eines Betrugs zu werden. Ziel des Crypto-Phishings beispielsweise ist es, die persönlichen Daten und - noch schlimmer - Zugangsdaten zu fremden Wallets zu erbeuten.

Eine der einfachsten und zugleich raffiniertesten Methoden ist das Versenden von Spam-Mails. Die sehen längst nicht mehr so plump und verräterisch aus wie noch vor fünf oder zehn Jahren, sondern mitunter ziemlich professionell (betrügerische Mails lassen sich dennoch identifizieren, doch dazu gleich mehr). Eine beliebte Methode besteht darin, den Besitzer einer Wallet auf Sicherheitsprobleme mit seinem Konto oder Anbieter hinzuweisen. Als Absenderadresse wird dazu der Name eines lizenzierten Finanz-Dienstleisters genutzt, also beispielsweise einer Trading-Plattform einem Krypto-Dienstleister, sodass dem Kunden vorgegaukelt wird, er werde gerade von seinem Anbieter kontaktiert. In der Mail wird dann zum Beispiel behauptet, es habe sich jemand unrechtmäßig Zugang zum Konto verschafft. Beigefügt wird ein Link, der zu einem angeblichen Sicherheitscheck weiterleiten soll. Der Nutzer gelangt darüber auf einer Fake-Website, auf der er aufgefordert wird, seine Wallet-Anmeldedaten einzugeben. Binnen Minuten ist der Betrüger so im Besitz sensibler Anmeldedaten und hat Zugriff auf die Krypto-Währungen des Opfers.

Ein Fake-Coinbase und falsche Bafin-Mitarbeiter

Ein prominentes Beispiel für Crypto-Phishing per E-Mail ist der Fall Coinbase. Um Missverständnissen direkt vorzubeugen: Es geht dabei nicht um die große Krypto-Plattform mit Sitz in Berlin, sondern eine Fake-Version eben dieses Unternehmens. Betrüger hatten zuletzt in großen Maße E-Mails an Nutzer der Plattform rausgeschickt, um diesen persönliche Daten wie Sicherheitscodes zu entlocken oder gar per Fernzugriff auf deren Rechner zugreifen zu können. Auch das Vortäuschen von Werbegeschenken wird gern genutzt, um Kunden zu einer „Adressverifizierung“ zu verleiten. Das „echte“ Coinbase kennt die Betrugsmaschen und hat auf seinem eigenen Online-Auftritt inzwischen eine ganze Hilfeseite zum Thema Krypto-Phishing erstellt. Das Unternehmen rät etwa dazu, die Absenderadresse mit denen zu vergleichen, die auf der „echten“ Website ausgewiesen sind. Außerdem verweist Coinbase auf die URL, die für betrügerische Zwecke leicht abgeändert werden muss. Coinbase frage niemals nach sensiblen Daten oder gar einem privaten Schlüssel zur Wallet, macht das Unternehmen deutlich.

Aktuell warnt die Bafin außerdem vor Telefonanrufen vermeintlicher Coinbase-Mitarbeiter, die Wallet-Nutzern versprachen, „verlorenes Geld“ mithilfe der Behörde zurückzuholen. Selbst als Mitarbeiter der Aufsichtsbehörde geben sich einige Betrüger aus. Zuletzt Ende März hat die Bafin vor E-Mails angeblicher Behördenmitarbeiter gewarnt, die versprachen, veruntreutes Geld für geprellte Bürger zurückzuholen. Gegen Bezahlung versteht sich.

Social Media als Einfallstor

Aufrufe zum „schnellen Gewinn“ in kurzer Zeit werden in der Minute tausendfach unter Videos oder Instagram-Beiträge gepostet. Mit einem Klick gelangt man auf das Profil eines angeblichen Traders, der einen mit seiner Finanz-Expertise binnen Tagen zum Millionär machen möchte. Andere Methoden sind das gezielte Anschreiben von potenziellen Opfern über Messenger-Dienste wie Whatsapp oder Telegram. Auch in diesem Fall wird meist auf einen „Experten“ oder eine Trading-Community verwiesen, der man beitreten solle oder direkt auf eine dubiose Website, die zum Registrieren einlädt. Die Stiftung Warentest listet in einer Warnliste solche Angebote und Websites auf, gegen die Behörden wie die Bafin bereits ermittelt oder die wegen zwielichtiger Angebote aufgefallen sind. Einzig auf dieses Verzeichnis sollten sich Anleger aber auch nicht verlassen. Auch für die Verbraucherorganisation ist es so gut wie unmöglich, alle Fälle von Betrug beziehungsweise betrügerische Websites zu erfassen.

„Betrügerische Angebote für Finanzprodukte erregen insbesondere in Sozialen Medien Aufmerksamkeit“, sagt ein Sprecher des Bundeskriminalamts auf Anfrage. „Klassische Methoden der Werbung“ würden dagegen nur noch selten eingesetzt. Darunter beispielsweise das Schalten von Anzeigen oder die Akquise per Telefon. Viele Täter beschränkten sich zudem nicht auf einen Kanal, sondern arbeiteten Netzwerk-übergreifend und damit sehr viel professioneller als noch vor ein paar Jahren, so das BKA.

Fake-Profile bei Instagram, Facebook und Telegram

Gang und Gäbe ist es inzwischen auch, dass Betrüger sich in sozialen Kanälen als seriöse Anbieter von Trading-Plattformen oder aber als Einzelpersonen mit Rang und Namen ausgeben.

Dabei erstellen die Betrüger beispielsweise eine Seite oder eine Gruppe bei einem Netzwerk wie Facebook und geben sich als Community eines seriösen Unternehmens aus. Das Design wird beinah deckungsgleich kopiert, und sobald ein paar gutgläubige Gruppenmitglieder gefunden sind, können diese damit rechnen, auf spezielle Angebote, Geschenke oder Gewinne hingewiesen zu werden. Häufig geschieht das über Markierungen auf geposteten Bildern oder Textbeiträgen. Dann folgen die üblichen Schritte: Nutzer müssen sich registrieren oder verifizieren oder aber direkt Geldbeträge oder Anteile von Kryptowährungen übermitteln. Womit der Totalschaden meist schon perfekt wäre.

Wie erkennt man Fake-Profile?

Meist genügt es schon, einen Blick auf die Followerzahl zu werfen und diese mit einer anderen Gruppe oder einem anderen Profil abzugleichen, das den gleichen Namen trägt. Im Zweifelsfall wird es sich bei dem angeblich prominenten Trader mit weniger als 53 Followern um ein Fake handeln, wenn gleichzeitig ein Profil mit >100.000 Abonnenten besteht.

Auf Facebook und Instagram soll grundsätzlich ein weißer Haken auf blauem Grund neben dem Profilbild bescheinigen, dass es sich um einen seriösen Seitenbetreiber handelt. Jedoch lässt sich so ein Prominentenstatus auch leicht konstruieren.

Erst Anfang 2022 gelang es einem Nutzer, sich bei Facebook als der Tesla-Chef Elon Musk auszugeben und dabei 1,7 Mio. Follower sowie eben jenen blauen Haken von Facebook zu erhalten. Auch aktuell existiert auf dem Sozialen Medium ein Fake-Profil des Unternehmers, das immerhin knapp 38.000 Follower gewinnen konnte.

Dass es sich hierbei um eine Fälschung handelt, ist erst auf den zweiten Blick ersichtlich beziehungsweise mit einem Klick auf den „Steckbrief“. Dort lässt sich die Seitentransparenz abrufen und feststellen, von welchem Ort aus das Profil erstellt wurde und seit wann es existiert. Die Untersuchung in diesem Fall zeigt: Der Profilname war lange Zeit ein anderer und wurde erst vor Kurzem in „Elon Musk“ geändert.

Etwas offensichtlicher ist die Täuschung bei einer Fake-Seite, die sich als Finanzfluss ausgibt und für eine Krypto-Community wirbt, in der angeblich BTCs verschenkt werden sollen. Unter den Posts werden private Profile verlinkt, die so den Eindruck erhalten sollen, offiziell auserwählt worden zu sein.

Betrüger am Apparat

Wenn sie auch seltener werden, gibt es nach wie vor Betrüger, die auf das gute alte Telefon zurückgreifen. In der Schweiz wurden gerade die Ermittlungen zu einem millionenschweren Anlagebetrug abgeschlossen, dem offenbar mehrere Hundert Personen aus dem DACH-Bereich zum Opfer gefallen sind. Telefonverkäufer hatten Menschen am Telefon Aktienzertifikate eines erfundenen Unternehmens angeboten, das bald an die Börse gehen werde. Ein Österreicher hatte nach Angaben der Wiener Wirtschaftszeitung Der Standard allein 300.000€ investiert und verloren. Vor Werbeanrufen für Aktien oder Kryptowährungen warnen die Verbraucherzentralen bereits seit Jahren, denn immer wieder gehen nach Aussage der Organisationen Beschwerden von geprellten Privatleuten ein. Sobald die vermeintlichen Anlagesummen überwiesen sind, verschwinden die Anbieter meist von der Bildfläche.

Wie schützt man sich vor Anlagebetrug?

Sowohl die Verbraucherzentralen als auch Behörden wie das Bundeskriminalamt oder die Bafin haben auf ihrer Website Leitfäden und Checklisten veröffentlicht, wie sich seriöse Anbieter von Betrügern unterscheiden lassen. Die wichtigsten Tipps zusammengefasst.

Je höher das Renditeversprechen, desto mehr Skepsis ist angebracht

Versprechungen von garantiert hohen Zinsen im zweistelligen Bereich oder utopische Renditeaussichten, die binnen kürzester Zeit Realität werden sollen, sind per se nie seriös. Nicht in jedem Fall müssen Betrüger hinter solchen Angeboten stecken, Vorsicht ist aber allemal geboten. Rendite gibt es - wie wir wissen - nur mit Risiko.

Ist die Website seriös?

Bei Anzeigen oder Kontakten über Social Media sollte unbedingt die Website des Unternehmens genauestens überprüft werden: Gibt es ein Impressum und einen Ansprechpartner, der kontaktiert werden könnte? Wo sitzt das Unternehmen? Fehlen solche Informationen, kann das auf Betrug hindeuten. Auch ist es ratsam, nach Kritik oder Erfahrungsberichten zu dem Unternehmen in Suchmaschinen und verschiedenen Foren zu suchen. Doch Achtung: Um glaubwürdig zu erscheinen, eröffnen einige Plattform-Betreiber selbst Websites, auf denen sie angebliche Rezensionen veröffentlichen, die das Unternehmen in einem positiven Licht darstellen.

Wo sitzt die Firma?

Die Stiftung Warentest empfiehlt, den Unternehmenssitz zu prüfen. Dass Handelsplattformen ihren Sitz in steuerfreundlichen Ländern wie Malta oder Zypern haben, kommt nicht selten vor und ist noch kein Beweis für Abzocke-Methoden. Jedoch sollte nach Meinung der Verbraucherstiftung geklärt werden, ob die Firma auch unter diesem Namen im Handelsregister zu finden ist. Solche Handelsregisterabfragen sind auch privat und online möglich. „Typisch“ für unseriöse Plattformen sei außerdem ein ständiger Wechsel der Betreibergesellschaft, meint Stiftung Warentest.

Ist die Firma Bafin-lizenziert?

Die Bafin führt eine Unternehmensdatenbank, in der sie alle Finanzdienstleister, Fondsgesellschaften, Banken, Versicherungen und sonstige Unternehmen aus dem Finanzbereich listet, denen sie zuvor eine Erlaubnis für den Geschäftsbetrieb in Deutschland erteilt hat. Mit Durchsehen dieser Liste können Nutzer also sicherstellen, dass die Behörde eine Firma als seriös eingestuft hat. Die Bafin führt ebenfalls ein Verzeichnis für alle Unternehmen, gegen die sie aktuell ermittelt. 

Die meisten Ermittlungen verlaufen im Sand

Prävention im Bereich Cybercrime ist deswegen so essenziell, weil sich Schäden im Nachhinein kaum noch reparieren lassen. „Die Täter überweisen und verschieben die Kundengelder auf verschiedenste Konten im Ausland, und die Betreiberfirmen der Handelsplattformen wechseln häufig“, sagt ein BKA-Sprecher. Die Chancen, das Geld je wiederzusehen, seien dadurch „sehr gering“. Das hat man auch Thomas Ulrich mitgeteilt, als dieser Mitte Dezember schließlich Anzeige gegen den vermeintlichen Chat-Freund und die Trading-Experten erhoben hat, die ihn um sein Erspartes gebracht haben. Nach den Gesprächen mit der Polizei ist sein letztes Fünkchen Hoffnung nun auch geschwunden: Ermittlungen ins Ausland verliefen sich oft im Sand, wird Ulrich mitgeteilt. „Die Erfolgsaussichten gehen gegen Null“. Der 58-Jährige kann also nichts weiter tun, als den Fehler zu akzeptieren und damit zu leben. Zumindest etwas positives kann er dem Ganzen sogar noch abgewinnen: „Letztendlich war es ein Lehrgeld.“

*Name von der Redaktion geändert