Promi-Anzeigen: Betrüger kapern Nutzerkonten für Milliardenbetrug

Gefälschte Promi-Anzeigen

Kriminelle kapern Konten für Milliardenschwindel

Wegen Sicherheitslücken verbreiten Accounts nichts ahnender Nutzer massenhaft Fake-Anzeigen mit Prominenten. So sollen Anleger für ruinöse Kryptogeschäfte geködert werden.

Als das Verhängnis begann, hatte der Spanier Luis Arbide die Nase längst voll vom Netzwerk X. Er hatte seinen Account mit einem Schloss versehen, also die Inhalte auf nicht öffentlich geschaltet und sich verabschiedet: "Auf Wiedersehen, Tesla-Kloake", schrieb er am 31. Dezember 2024 letztmals auf der Social-Media-Plattform von Tesla-Chef Elon Musk. Doch dann wurde sein stillgelegtes Konto ein paar Wochen später zu einem Rädchen in einer riesigen größten Betrugsmaschinerie. Denn X macht es Betrügern offenbar durch eine erhebliche Sicherheitslücke leicht, Accounts zu übernehmen.

Im April dieses Jahres postete Luis Arbides stillgelegter Account Werbung für vermeintliche Krypto-Geschäfte, ganz ohne Arbides Zutun. Nun war der X-Account des Spaniers mit blauem Häkchen versehen, womit X angeblich als authentisch geprüfte Konten kennzeichnet, und verbreitete eine reißerische Schlagzeile, wie sie viele Internetnutzer schon einmal gesehen haben dürften: Ein Promi habe sich verplappert, das Mikrofon sei noch an gewesen, als er ein verhängnisvolles Geheimnis preisgab

Promis von Jauch und Slomka über Grönemeyer bis zu Merz

In Deutschland wird dann behauptet, dass Günther Jauch, Alice Weidel, Sahra Wagenknecht oder "Höhle des Löwen"-Juroren wie Frank Thelen versehentlich verraten hätten: Ein KI-gesteuertes neues Investmentmodell mache Menschen im Nu reich. Die Prominenten sind dabei selbst Opfer, sie werden mit ihren bekannten Namen missbraucht, um Interesse für Geschäfte zu wecken, die ein Betrug sind.

Der Schaden beläuft sich auf viele Milliarden. "Wir hatten auch schon Bankvorstände und Finanzberater, die darauf reingefallen sind", sagt Oberstaatsanwalt Nino Goldbeck von der Generalstaatsanwaltschaft Bamberg. An der dortigen Zentralstelle Cybercrime Bayern laufen landesweit diese Betrugsfälle zusammen. Bayern hat die Ermittlungen früh zentralisiert. Weltweit kennt sich kaum jemand so gut mit den Betrügern aus wie Goldbeck und seine Kollegen in Bamberg. Sie stehen kurz davor, den 100. Beschuldigten anzuklagen. 80 Täter aus 15 Betrugsnetzwerken sind bereits rechtskräftig verurteilt.

In einer durchschnittlichen Woche landen in Bamberg bis zu 100 neue Anzeigen – und das sind nur Betroffene aus Bayern. "Mal geht es um 50.000, dann um knapp 300.000 Euro." Unter den Opfern seien Großverdiener, für die ihr Einsatz eher Spielgeld war. Ganz überwiegend handelt es sich aber um Menschen aus der Mittelschicht mit überschaubarem Vermögen. Bürokräfte, Handwerker, es sind auch Pflegekräfte oder leitende Angestellte darunter.

Es gehe um viele persönliche Schicksale von Menschen, "die derart manipuliert werden, dass sie nicht selten sogar Immobilien veräußern oder Kredite aufnehmen." Goldbeck kennt die Mitschnitte von Telefonaten, in denen Betrogene die Betrüger verzweifelt anflehen, zumindest einen Teil des Geldes zurückzubekommen, weil sie vor dem Ruin stehen. "Manche Opfer haben auch nahe Angehörige überredet, mitzumachen. Ich weiß von mehreren Suiziden."

Kriminelle aus verschiedenen Branchen arbeiten zusammen

Das System, mit auffälliger Werbung Menschen für den Betrug zu ködern und dann auszunehmen, funktioniert seit Jahren in vielen Ländern. Das hat verschiedene Gründe: Zum einen ist es ein gigantisches Geschäft, an dem auch Plattformen mitverdienen und vermutlich auch deshalb weniger dagegen tun. als sie könnten. Zum anderen verfeinern die Betrüger die Methoden fortlaufend und passen sie an.

Die Betrugsmasche: Oberstaatsanwalt Goldbeck beschreibt das weltumspannende Netz miteinander kooperierender Krimineller als ein arbeitsteiliges System von hoch spezialisierten Branchen und Dienstleistern: "Trading Scam, wie wir das nennen, beruht auf mehreren Säulen; der eine Sektor kann innerhalb der kriminellen Wertschöpfungskette ohne den anderen kaum arbeiten."

Es beginnt mit der Opfersuche: Die Betrüger posten die Fotos von gefakten Artikeln und Videos bekannter Medienmarken, in denen Prominente vorkommen, um so die Aufmerksamkeit der Nutzer auf sich zu ziehen. In Deutschland etwa von "Bild" oder Tagesschau. Darin wird behauptet, Sendungen seien abgebrochen oder Beiträge gelöscht worden, damit die "Wahrheit" über ein angeblich großes Geschäft nicht bekannt werde.

Wer auf den Link im Post klickt, landet auf einem gefälschten Artikel, an dessen Ende ein weiterer Link steht. Die Nutzer sollen auf Seiten gelockt werden, die ihnen dann vorgaukeln: Hier können sie mit einer KI-gesteuerten Handelsplattform auch ohne eigenes Fachwissen traumhafte Geschäfte machen. Dazu müssen sie nur ihre Kontaktdaten angeben.

Die Betrüger kommen so an die Namen und Daten möglicher Opfer zur Kontaktaufnahme. Damit ist die Arbeit für die eine Branche (Marketingfirmen) bereits getan und die nächsten kommen zum Zug.

Skandinavier sind für Betrüger wertvoller als Deutsche

Professionell wirkende Finanzberater aus Call-Centern rufen nun die Interessierten an und drängen zum Kauf von vermeintlichen Kryptowährungen. Ihr Ziel ist es, sie zu einer Einzahlung von 250 Euro zu bewegen. Gelingt das, klingelt bei den Marketingfirmen aus Schritt 1 die Kasse: "Wenn ein Kundendatensatz durch eine Ersteinzahlung bestätigt ist, zahlt das Call-Center zwischen 600 und 1.500 Euro an die Marketingfirmen", erklärt Ermittler Goldbeck. Die Werbung auf X, Facebook & Co macht sich bezahlt, wenn genug Neugierige erste Einzahlungen leisten.

Die Höhe der Prämie für die Marketingunternehmen hängt maßgeblich davon ab, aus welchem Land der Kunde stamme, so Goldbeck. Skandinavier oder Schweizer seien am wertvollsten, Deutsche folgen. Und die Firmen sind sehr gut organisiert – Goldbeck: "Nach unseren Erfahrungen dürfte die Buchhaltung in solchen Unternehmen teilweise besser sein als in so manchem hierzulande völlig seriös tätigen Unternehmen."

Um an große Beträge zu kommen, erwecken die Modelle den Eindruck hoher anfänglicher Gewinne: Die eingezahlten 250 Euro haben sich für den Anleger vermeintlich vervielfacht. Eine Software simuliert, wie durch KI-gesteuerte Krypto- oder Währungsgeschäfte der Gewinn steigt. Viele Investoren überzeugt das, höhere Beträge zu riskieren. Am Ende ist das Geld weg. Im schlimmsten Fall zahlen die Opfer auch noch Geld dafür, dass ihnen die Rückabwicklung ermöglicht werden soll. Auch dafür gibt es inzwischen gefakte Anzeigen, in denen Prominente von Schadenersatzmöglichkeiten sprechen – ebenfalls Betrug. Für die Geldflüsse und das Waschen des Geldes kommen wieder andere Unternehmen ins Spiel.

Werber wider Willen: Zentral ist das ständige Werben um neue potenzielle Opfer. Hier kommen Werbefirmen mit Anzeigen ins Spiel: Facebook, Instagram, Google, YouTube, besonders auffällig aber auch X. Auf Elon Musks Netzwerk lässt sich das schmutzige Spiel gut nachvollziehen. Dort wird ersichtlich: Frühere oder noch aktive Nutzer der Plattform können unfreiwillig Mittäter und Opfer werden – und sie bekommen anfangs gar nichts davon mit. Es werden zwar auch alte Accounts mit gehackten Zugangsdaten aus früheren Leaks genutzt und irgendwann für solche Zwecke angelegte Fake-Profile. Bisher ist aber kaum öffentlich bekannt, dass es auch zunehmend Accounts nichtsahnender Nutzer trifft.

Wie den von Luis Arbide, der dachte, sein Account sei stillgelegt. Oder bei Tim Myers, einem Unternehmer aus einem US-Ostküstenstaat. Myers hatte schon überlegt, den Account seiner kleinen Firma für hochwertige Messtechnik zu löschen. Aber X war schneller, nachdem auf dem Konto seltsame Dinge vor sich gegangen waren.

Genervte Nutzer lösen Löschung von Account aus

Die Plattform löschte den Account. Wahrscheinlich, weil er massenhaft von genervten Nutzern aus Deutschland gemeldet worden war. Denn vom Account der seriösen Firma wurde in einem Tweet für ein deutsches Publikum mit einem gefälschten Foto für das Betrugsmodell geworben. Das Bild hatte im Original die Festnahme von Heinrich XIII. Prinz Reuß gezeigt, Hauptfigur einer mutmaßlichen Terrorgruppe. Doch statt ihm war Grönemeyer ins Bild der Anzeige montiert worden.

Die Betrüger hatten solche Posts als "gesponserte" Beiträge, also Werbung, bei X gebucht. Als Zielvorgabe hatten sie angegeben, dass er Deutschen im Alter von über 35 Jahren mit Androidgeräten angezeigt werden sollte.

Zehn solche betrügerischen Anzeigen wurden von Myers gehacktem Firmenaccount geschaltet, rund 70.000 Mal wurden sie gesehen. Diese Informationen lassen sich nachvollziehen, weil die EU die Digitalkonzerne mit dem Digital Services Act (DSA) zu etwas mehr Transparenz zwingt: In einem öffentlichen Verzeichnis sollen sie angeben, welche Werbung wie geschaltet wurde. X hat das kompliziert gestaltet. Für jedes Land muss einzeln abgefragt und ein Bericht angefordert werden, der als Excel-Datei erhältlich ist. t-online hat für diese Recherche Dutzende Accounts ausgewertet.

Die Ausmaße: 70.000 Ansichten einer Anzeige, die von Tim Myers Account gepostet wurde, scheint zunächst keine allzu große Zahl zu sein. Sie potenziert sich aber schnell. Es werden ja viele Konten für solche Posts genutzt, täglich neue und das seit Jahren: t-online hat Konten echter X-Nutzer gefunden, die für über 40 Anzeigen in Deutschland, Frankreich und Spanien genutzt wurden. Gut möglich, dass es noch viel mehr waren: X muss die Werbung nur innerhalb der EU ausweisen.

Von einem Indonesier 130 Anzeigen an Japaner

An manchen Tagen sieht es in manchen Ländern so aus, als würden die Anzeigen auf X fast ausschließlich aus Betrugsködern bestehen – sie werden in Wellen, mit unterschiedlichen Zielmärkten gepostet. Mithilfe eines Web-Archivs lässt sich zurückverfolgen, dass etwa vom Account eines Indonesiers aus am 3. Juni 130 Anzeigen für japanische Nutzer veröffentlicht wurden. Der Account wurde inzwischen von X gelöscht, so wie der von Tim Myers.

Das gemeinnützige Österreichische Institut für angewandte Telekommunikation durchforstete die Anzeigenbibliothek von Meta für Facebook und Instagram an zwei Tagen nach betrügerischen Anzeigen mit österreichischen Prominenten und stieß auf 246 betrügerische Inserate: Rund 200.000 Personen wurden damit erreicht. "Und es handelt sich nicht um besonders aktive Tage der Scammer", so die Österreicher in der Auswertung.

Das Kapern der Accounts: US-Unternehmer Myers hat aus seinem Fall auf X gelernt, "dass selbst kleine Konten sehr gute Online-Hygiene erfordern, da sie sonst missbraucht werden können", wie er t-online sagt. Er wusste eigentlich um die Problematik, "wir hatten ein sehr komplexes Passwort, das wir uns mit zwei Nutzern geteilt haben. Wir hatten aber einer Drittanbieter-App den Zugriff erlaubt."

Drittanbieter-Apps sind Programme, die beispielsweise dazu dienen, Auswertungen zum eigenen Account zu erstellen oder einen Account komfortabler zu verwalten. Dafür brauchen sie Zugriffsrechte. Nutzer wissen oft gar nicht mehr, dass sie einen derartigen Zugriff erlaubt haben. Einst seriös erscheinende Anbieter können auch längst übernommen worden sein oder wurden von Anfang an mit Hintergedanken erstellt.

X warnt durchaus vor den Schwachstellen solcher Anbieter – dort, wo es darum geht, den Anzeigenaccount zu sichern. Die meisten Nutzer dürften das jedoch kaum zur Kenntnis nehmen, so gut versteckt ist der Hinweis. Dort heißt es: "Genehmige nur Applikationen, bei denen du weißt, worum es sich handelt, und halte dich auf der Applikationen-Seite deines Accounts über die mit deinem Account verbundenen Apps auf dem Laufenden." Offenbar informierte X, das damals noch Twitter hieß, erstmals 2019 darüber, dass die Drittanbieter-Apps die Berechtigung erhalten können, "ohne Kenntnis des Passworts Kampagnen zu erstellen und Accounteinstellungen zu ändern". X beantwortet Fragen zu dem Problem und der Zahl und Verbreitung betroffener Drittanbieter-Apps nicht (Lesen Sie hier, wie Sie Ihren Account schützen können).

Im Account wurde neuer Administrator hinzugefügt

Was Myers vor der Löschung des Accounts an Aktivitäten dort noch nachvollziehen konnte, dürfte eine Horrorvorstellung für viele Nutzer sein. Ohne sein Zutun war kurz vor der ersten Anzeige ein Zugriff auf seinen Account über eine solche App erfolgt. In dem Account wurde für Anzeigen ein weiterer Account mit dem Namen "Amy Barry" als Administrator hinzugefügt, dabei handelte es sich um ein Tage zuvor angelegtes Profil mit KI-generiertem Foto einer Frau. All das sah Myers erst im Nachhinein, ohne eine Nachricht erhalten zu haben.

Auch Kreditkarteninformationen einer Visa-Karte wurden hinzugefügt, um die Anzeigen zu zahlen. Die Daten könnten ein fieser Scherz der Hinterleute sein: Gegenüber der Sportstätte "Crypto.com Arena" in Los Angeles soll die Karteninhaberin in einem Hochhaus leben. An der Adresse finden sich keine Hinweise zu ihr. Bis zu 900 Dollar Werbebudget von der Kreditkarte waren vorgesehen. Letztlich wurden es knapp 300 Dollar, ehe die Werbung in diesem Account eingestellt wurde.

Von Amy Barry finden sich in der Werbedatenbank bei X keine Spuren, was auch einen Verstoß darstellen dürfte: X verschleiert, dass die werbende Person (Myers Firma) nicht die zahlende Person ist.

Tim Myers war von X nie darüber informiert worden, dass in seinem Account eine weitere Person mit weitgehenden Rechten agieren könnte. Dabei heißt es von X in den Informationen zur Werbung: "Die Kontosicherheit ist für Werbetreibende von entscheidender Bedeutung."

Auch bedenklich: Wäre Myers Account nicht so oft gemeldet und gelöscht worden, könnte er ihn heute mit blauem Häkchen für seine Firma nutzen. Das erhalten Accounts automatisch, wenn Nutzer einmal Werbung geschaltet haben. Das einstige Gütesiegel für verifizierte Accounts tragen jetzt massenhaft Accounts, die Betrüger für Werbung missbraucht haben.

X hat schon mehrere blaue Briefe

Der Kampf der Plattformen: Von den Anzeigen sind alle großen Plattformen betroffen. Zudem buchen die Betrüger über Dienstleister sogar Plätze auf den Webseiten renommierter Medien.

Gegen die irreführende Promi-Werbung gehen alle Seiten vor – aber unterschiedlich konsequent. Medienunternehmen reagieren in der Regel sehr schnell, wenn es sich bei den zugelieferten Anzeigen externer Dienstleister offensichtlich um untergejubelte Betrugswerbung handelt. Die Dienstleister, über die die Werbung bei ihnen gelandet ist, erhalten zusätzlich Nachricht, um ihrerseits solche Kunden zu sperren.

Meta hat im März 2025 angekündigt, bei Prominenten, die das wünschen, automatisierte Gesichtserkennung einzusetzen, um Fake-Werbung schneller zu erkennen. Im vergangenen Jahr hatte die EU-Kommission ein Verfahren gegen Meta wegen mutmaßlicher Verstöße im Zusammenhang mit irreführender Werbung eingeleitet. Eine Sprecherin zu t-online: "Das Verfahren ist noch nicht abgeschlossen, daher können wir dazu keine Stellung nehmen."

X erhielt im Juli 2024 Nachricht aus Brüssel: Sein Werbearchiv halte nicht die erforderliche Transparenz ein. "Ungeeignet" sei das Instrument. Anwalt Henning Fangmann von der auf Internetrecht spezialisierten Kanzlei Spirit Legal: "Nutzern von X ist es gerade nicht möglich, in klarer, präziser und eindeutiger Weise zu erkennen, wer die Werbung geschaltet oder bezahlt hat. Das stellt einen Verstoß gegen die Vorgaben im Digital Service Act dar."

Der Kampf der Aufsichtsbehörden: Die Kommission könnte wegen solcher Verstöße eine Geldbuße von bis zu 6 Prozent des weltweit erzielten Gesamtjahresumsatzes verhängen, so Jurist Fangmann. Hilfreich könnte für die Aufseher eine umfangreiche Dokumentation mit Werbe-Postings sein, die der deutsche X-Nutzer @bastelbro1 bereits im Frühjahr 2024 der Bundesnetzagentur zugeleitet hat. Sie ist die national verantwortliche DSA-Stelle. Die Belege sind offenbar erst mit einem Jahr Verzögerung und auf Nachfragen bei der EU-Kommission angekommen.

X droht wegen seines zögerlichen Vorgehens aber noch von anderer Seite Ärger: Im Dezember 2023 bekam das Netzwerk einen blauen Brief von der spanischen Finanzaufsicht CNMV: Sie werde "alle entsprechenden Aufsichts- und Sanktionsbefugnisse ausüben". CNMV kann Webseiten, Medien und soziale Netzwerke in Haftung nehmen, wenn dort Krypto-Schwindel verbreitet wird, ohne überprüft zu haben, ob die Werbung zu nicht zugelassenen und betrügerischen Wertpapierdienstleistungen führt. "Im Dezember 2024 eröffnete die CNMV gegen X ein Verfahren wegen des Vorwurfs eines "sehr schweren und fortgesetzten Verstoßes gegen die Vorschriften zu Wertpapierdienstleistungen durch Pflichtverletzung". International verfolgen die Finanzaufsichtsbehörden das Verfahren in Spanien gespannt. X wollte es auf Anfrage nicht kommentieren.

Bundesnetzagentur will Sperrungen anweisen

Italiens Börsenaufsicht geht einen anderen Weg, den auch die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) versucht. Seit 2019 hat die italienische Behörde Consob die Befugnis, den dortigen Telekommunikationsunternehmen Sperren von Betrugsseiten anzuweisen. Das Ergebnis: Die Aufseher geben WWW-Adressen an die Telekommunikationsunternehmen weiter, die dann diese URLs für ihre Internetkunden unerreichbar machen. 1.366 Betrugsseiten wurden so seither ausgeblendet. Ermittler Goldbeck hält das für ein "interessantes Modell, das Verbraucher schützen kann. Das aber netz- und rechtspolitische Fragen aufwirft".

Denn die Anbieter von Internetanschlüssen wie Telekom, Vodafone, 1&1 & Co halten das Prinzip der Netzneutralität hoch: Sie wollen möglichst nichts mit übermittelten Inhalten zu tun haben und fordern deshalb das Löschen dort, wo die Daten der Seiten liegen. Die Erfahrung hat auch die Bafin gemacht, als sie erstmals im Mai 2021 eine Betrugsseite sperren lassen wollte. Einer der großen Anbieter widersetzte sich der Weisung und klagte schließlich auch gegen den Widerspruchsbescheid.

Mehr als drei Jahre nach dem Versuch, die Betrugsseite unzugänglich zu machen, verlor die Bafin am Verwaltungsgericht Frankfurt im Oktober 2024: Sie hatte die Weisung im konkreten Fall nicht erteilen dürfen. Für die Aufsichtsbehörde liest sich die Begründung dennoch wie ein Sieg: Das Gericht entschied, dass die Bafin den deutschen Anbietern vorgeben darf, die Verbindung zu problematischen Seiten zu kappen, wenn die Bafin vorher alle anderen Wege ausgeschöpft hat und an der Quelle nicht erfolgreich war.

Hat die Bafin also vergebens versucht, die Seite in dem Land zu löschen, in dem sie auf einem Server liegt, kann sie den umstrittenen Weg des Sperrens nutzen. Dieses Verfahren werde man auch nutzen, sagte ein Bafin-Sprecher t-online. Bisher blieb der Bafin nur das öffentliche Warnen mit Nennung der Anbieter. Zuletzt warnte sie im März 2025 vor Quantum AI, der vielleicht wichtigsten Betrugsplattform. Seit August 2022 ermittelt sie bereits gegen sie.

Die Tarn-Strategien der Betrüger: Dass die Masche überhaupt noch funktioniert, hat auch damit zu tun, dass die Betrugsfirmen ihre Methoden anpassen und verfeinern – und sich tarnen. Das zeigte sich auch in den Accounts des Spaniers Luis Arbide und des Amerikaners Tim Meyers: Bevor deutsche Promis in wahnwitzigen Geschichten auftauchten, gab es dort unauffällige Anzeigen: Bei Arbide war es ein Posting aus dem vergangenen Jahr, das noch einmal als Werbung verschickt wurde, bei Myers ein nichtssagender Satz mit einem Foto, das offensichtlich von seiner Firmenhomepage genommen worden war. Offenbar geht es darum, mit einer ersten Anzeige als unverdächtiger Werbekunde zugelassen zu werden. Denn zu offensichtlich betrügerische Anzeigen werden oft nicht mehr zugelassen.

Betrüger arbeiten auch mit harmlosen Tarnseiten zur Ablenkung

Deshalb wird auch beim Start der eigentlichen Betrugsanzeigen oft getrickst: Die gleiche Adresse kann zu unterschiedlichen Zeiten und aus unterschiedlichen Ländern eine ganz andere Seite ausliefern. Es wird eine Art Weiche eingebaut. Das kann dann so aussehen: Wenn eine Anzeige freigegeben ist und ein Nutzer aus Deutschland darauf klickt, landet er beispielsweise auf einer Seite "Robospark Investor" in der Optik der Sparkassen. Wer hier Interesse hat und seine Daten eingibt, wird kontaktiert, um zum Start 250 Euro zu investieren.

Doch zu Beginn der Kampagne und bei Klicks aus anderen Ländern, führt der Link oft auf eine andere, unverdächtig erscheinende Firmenseite: Während der Recherche war das etwa "Solar Stern". Der "Experte für Erneuerbare Energien" ist ein reines Fantasie-Unternehmen, dessen vermeintliche Adresse in einer Berliner Kleingartensiedlung liegt. In anderen Fällen machen sie es sich noch einfacher: Wird nicht zur Krypto-Falle weitergeleitet, landen Nutzer bei Google oder einer echten Nachrichtenseite.

Auch bei den Zahlungen tricksen die Betrüger. Oberstaatsanwalt Goldbeck weiß von deutschen Opfern, die ihre erste Zahlung an deutsche gemeinnützige Vereine leisten sollten, etwa an Kindergarten-Fördervereine oder Ukraine-Initiativen. "Diese Vereine haben nichts mit der ganzen Sache zu tun und erstatten auch alles zurück."

Spuren nach Russland mit wenig Bedeutung?

Der Sinn nach Goldbecks Erfahrung: "Es wirkt für Neukunden vertrauensbildend und beseitigt etwaiges Misstrauen, wenn die erste Zahlung an eine in Deutschland ansässige gemeinnützige Initiative geht." Um im weiteren Verlauf Kontrollmechanismen und Präventivmaßnahmen ihrer Banken zu unterlaufen, würden die Opfer von den Tätern gezielt beraten.

Die Hinterleute: Teile des Programmcodes auf Webseiten und IP-Adressen deuten auf Urheber in Russland hin. Nicht nur deshalb stellen viele Nutzer Spekulationen an, Russland könne hinter den Anzeigen stecken. Schließlich werden in den Anzeigen auch oft Politiker mit kontroversen Aussagen präsentiert. Nachgebaute Seiten seriöser Medien wie bei den Krypto-Lockvögeln sind ein Merkmal der großangelegten "Doppelgänger"-Kampagne zur russischen Desinformation. Kurz nach Russlands großflächigem Einmarsch in die Ukraine begann diese vom Kreml gesteuerte Kampagne, deren Inhalte auch über soziale Netzwerke verbreitet werden.

Ermittler wie der bayerische Oberstaatsanwalt Nino Goldbeck sehen allerdings kaum Anhaltspunkte für eine Verbindung Russlands zu den Kryptoschwindlern. Sie sehen die Kriminellen in vielen Ländern. Israel und Zypern seien nach den bisher gewonnenen Erkenntnissen traditionell Länder, aus denen derartige Geschäfte gesteuert werden. Viele Call-Center-Unternehmen gebe es in der Ukraine oder in Georgien, aber auch auf dem Balkan. Sie spezialisierten sich jeweils auf bestimmte Sprachräume.

Leak gibt Einblicke in Arbeit und Partys georgischer Betrüger

Über das Innenleben haben Journalisten bei einem Unternehmen aus Georgien detaillierte Einblicke gewinnen können: Mehr als 80 Mitarbeiter waren an mindestens drei Standorten der "AK Group" tätig, um Menschen auf Deutsch, Englisch, Spanisch und Russisch zum Zahlen zu ködern. Zunächst traten sie wie beste Freunde auf. Sobald ihre Opfer den Betrug erkannten, wurden sie kaltschnäuzig und spöttisch behandelt. Das zeigen die mitgeschnittenen Telefonate.

Investigative Reporter des schwedischen Senders SVT hatten zuvor von einem Insider Tausende Stunden Gespräche und weitere interne Unterlagen zugespielt bekommen. Die anonyme Quelle gab dazu an: Er wolle Aufmerksamkeit, um eine internationale Kooperation der Ermittler voranzutreiben. "Betrüger können nahezu offen agieren, ohne dass sie jemand aufhält."

Die Schweden teilten die Daten über ein internationales Rechercheprojekt, das Organized Crime & Corruption Reporting Project, mit Journalisten in anderen Ländern. Nach den Enthüllungen beschlagnahmten georgische Behörden Immobilien und nahmen Ermittlungen auf.

Die Recherchen zeigen, dass besonders erfolgreiche Betrüger bei der Firma 20.000 Dollar im Monat verdienten – in einem Land mit einem Durchschnittseinkommen von 650 Euro. Sie traten mit Pseudonymen wie Mary Roberts, Barry Anderson und Lana Lehman auf. Obwohl die Betrugsfirma als eher kleinerer Player gilt, sammelte sie allein von Mai 2022 bis Februar 2025 von mehr als 6.000 Menschen rund 30,5 Millionen Euro ein. Mit rauschenden Firmenpartys wurden die Erfolge gefeiert. Fotos davon zeigen auch die Firmenchefs Meri Shotadze und Akaki Kevkhishvili, die auf Accounts in Social Media Bilder eines Luxuslebens vorführten. Die Accounts haben sie inzwischen deaktiviert.

• 

  Mutmaßliche Kindesentführung: Block-Prozess: Verteidiger machen Ankündigung
• 

  18-Jähriger in Hamburg angeschossen: Schwer verletzter Mann taucht plötzlich auf Abifeier auf
• 

  Carolinas Handy ist aus: Deutsche vermisst: Mordermittler suchen mit Hubschraubern

Bei den Recherchen wirkten die Twitter-Nutzer @mfphhh und @bastelbro1 mit.