Investmentbetrug ist längst keine einfache Masche mehr, bei der ahnungslose Nutzer auf plumpe Fälschungen hereinfallen. Sicherheitsforscher haben jüngst zwei besonders ausgeklügelte Bedrohungsakteure identifiziert, bekannt unter den Bezeichnungen Reckless Rabbit und Ruthless Rabbit. Diese nutzen verschiedenste technische und psychologische Methoden, um ihre Opfer zu täuschen, vor allem über Facebook-Anzeigen, automatisierte Domain-Registrierungen sowie IP-basierte Filtermechanismen. Die äußerst zielgerichtete Vorgehensweise veranschaulicht, wie Cyberkriminelle ihre Strategien kontinuierlich weiterentwickeln, um ihre Seriosität vorzutäuschen und Erkennungssysteme auszutricksen. Die Grundlage dieser Betrugsmaschen ist der Aufbau gefälschter Investmentplattformen, oft im Bereich von Kryptowährungen.
Durch sozial bestätigte Prominenten-Empfehlungen in gefälschten Nachrichtenartikeln gelingt es den Betrügern, Vertrauen zu vortäuschen. Nutzer gelangen durch die Facebook-Anzeigen zunächst zu scheinbar glaubwürdigen Inhalten mit angeblichen Stars, die die Investitionsmöglichkeiten loben. Im weiteren Verlauf werden die Opfer über eingebettete Webformulare dazu verleitet, persönliche Daten wie Namen, Telefonnummern und E-Mail-Adressen einzugeben. Manche Formulare generieren zudem automatisch ein Passwort, welches als Einstieg in weitere Validierungsphasen dient. Ein weiteres Schlüsselelement ist die technische Überprüfung der Nutzer mittels legitimer IP-Geolokalisierungsdienste.
Über Dienste wie ipinfo.io oder ipgeolocation.io wird genau analysiert, ob die Person aus einem für die Betrüger interessanten Land auf die Seite zugreift. Jene Nutzer, die aus unerwünschten Regionen stammen, werden häufig in eine Sackgasse geleitet, etwa durch eine harmlose Dankesseite, während ausgewählte Opfer zum nächsten Schritt weitergeleitet werden. Diese Filterung ermöglicht den Tätern, ihre Ressourcen auf ertragreichere Zielgruppen zu konzentrieren und Risiken durch Investigatoren und automatisierte Schutzmechanismen zu minimieren.
Die Betrüger verwenden außerdem sogenannte Registered Domain Generation Algorithms (RDGA). Im Gegensatz zu herkömmlichen DGAs registrieren RDGAs systematisch Domains, um eine Vielzahl von Webseiten zu betreiben, die sich ständig wechseln und so die Nachverfolgung erschweren. Reckless Rabbit hat diese Methode bereits seit April 2024 eingesetzt und fokussiert sich dabei vor allem auf Nutzer in Russland, Rumänien und Polen, während Länder wie Afghanistan oder Liberia explizit ausgeklammert werden. Diese differenzierte Auswahl unterstreicht eine ausgeklügelte, geopolitisch motivierte Strategie der Täter. Die Facebook-Anzeigen selbst sind clever gestaltet, um nicht aufzufallen.
Oft werden Bilder verwendet, die keinen direkten Bezug zu Investment oder den eigentlichen Scam-Domains haben. Stattdessen zeigen sie scheinbar harmlose Produkte, beispielsweise von Amazon. Darüber hinaus wird der in der Anzeige sichtbare Link durch eine harmlos erscheinende Domain maskiert, während sich Nutzer nach dem Klick auf eine völlig andere, betrügerische Webseite weiterleiten lassen. Ruthless Rabbit zeichnet sich dadurch aus, dass dieser Akteur seine eigenen Verkleidungs- und Bewertungswerkzeuge in Form eines Cloaking-Services betreibt. Über eine eigene Domain wird die Echtheit der Nutzer überprüft und basierend auf diesen Ergebnissen die weitere Teilnahme gesteuert.
Nutzer, die alle Prüfungen bestehen, werden zu Investmentplattformen geleitet, auf denen sie zur Angabe ihrer Bank- und Finanzdaten animiert werden. Diese Taktik verstärkt die Professionalität der Masche und erschwert die Entdeckung durch Sicherheitsforscher und Behörden. Ein wichtiger technischer Bestandteil der Betrugsinfrastruktur sind Traffic Distribution Systems (TDS). Diese leiten den Nutzerfluss gezielt auf unterschiedliche Seiten, behindern die Analyse der Webseiten durch automatisierte Bots und verhindern so, dass Sicherheitsforscher den Betrug rekonstruieren können. Zudem sind Callcenter Teil der Kampagne.
Nachdem ein Nutzer seine Daten hinterlassen hat, kontaktiert ihn in manchen Fällen ein angeblicher Investmentberater, der komplexe Anleitungen zum Überweisen von Geld auf die Fake-Plattformen gibt. Dies steigert den Druck auf die Opfer, ihre finanziellen Mittel zu investieren, in der Hoffnung auf hohe Renditen. Die Summe dieser Techniken ergibt eine hochentwickelte und schwer aufdeckbare Betrugsmasche mit lukrativem Potenzial für die Täter. Solche Methoden sind nicht neu, finden jedoch zunehmend Verbreitung. Ähnliche Strategien wurden bereits im Winter 2024 mit dem Scam Nomani registriert, der ebenfalls auf Social-Media-Werbung, markengeschützte Unternehmensauftritte und KI-generierte Deepfake-Testimonials setzt.
Gerade die Herstellung und Verbreitung von Deepfakes steigert die Glaubwürdigkeit betrügerischer Werbung erheblich. Diese Entwicklung macht es für Verbraucher noch schwieriger, echte von falschen Investmentmöglichkeiten zu unterscheiden. Parallel dazu warnen Sicherheitsexperten vor einem erneuten Anstieg sogenannter Mystery-Box-Betrügereien, die oft über Facebook mit gefälschten Shops enden und Nutzern Abo-Fallen und wiederkehrende Zahlungen unterschieben. Hierbei schaffen Kriminelle ein Netz aus mehreren hundert gefälschten Webseiten, das ähnlich wie bei den Investment-Scams Filtermechanismen nutzt, um Mensch von Bot zu unterscheiden. Der Zusammenhang der Methoden in diesen verschiedenen Betrugskampagnen unterstreicht einen Trend: Cyberkriminelle setzen vermehrt auf ausgeklügelte, automatisierte und geografisch selektive Techniken, um ihre Opfer zu identifizieren und finanziell auszurauben.
Gleichzeitig ermöglichen diese Tools den Tätern, den technischen Gegenmaßnahmen durch Sicherheitsdienstleister ein Schritt voraus zu bleiben. Neben diesen rein digitalen Bedrohungen setzen einige Betrügerorganisationen weltweit auch auf physische Schutzmechanismen und organisierte Strukturen. Die USA und andere westliche Länder haben in jüngster Zeit Milizen und kriminelle Netzwerke, beispielsweise in Myanmar, mit Sanktionen belegt, da diese große Scam-Komplexe betreiben und für Menschenschmuggel sowie andere kriminelle Aktivitäten verantwortlich sind. Diese Organisationen betreiben komplexe Scam-Zentren, in denen Opfer gezielt mit falschen Jobversprechen angelockt und in weitere Betrugspläne eingebunden werden. Die geschätzten Einnahmen aus diesen „industriellen“ Betrugssystemen belaufen sich auf Milliardenbeträge jährlich.
Für die Verbraucher bedeutet diese Entwicklung vor allem eines: erhöhte Wachsamkeit und ein kritisches Hinterfragen von Online-Investmentangeboten. Es ist essenziell, Links aus Facebook-Anzeigen nicht ungeprüft zu folgen und bei neuen Plattformen stets auf offizielle Registrierungen und Nutzerbewertungen zu achten. Außerdem sollte man sich nicht von vermeintlichen Promi-Empfehlungen blenden lassen, vor allem wenn diese über zweifelhafte Webseiten verbreitet werden. Die Kombination aus technischen Schutzmechanismen, aufgeklärtem Nutzerverhalten und staatlicher Strafverfolgung wird eine entscheidende Rolle dabei spielen, den immer komplexer werdenden Investmentbetrug einzudämmen. Für Unternehmen und Internetnutzer bietet sich zudem die Chance, über neue Sicherheitstechnologien zu informieren und die eigenen digitalen Schutzmaßnahmen ständig zu verbessern.
Letztlich zeigen aktuell beobachtete Betrugswellen, dass Cyberkriminelle sowohl mit technologischem Know-how als auch mit psychologischen Tricks zahlreiche Verteidigungslinien durchdringen können. Nur durch kontinuierliche Forschung, Zusammenarbeit von Behörden und informierte Bürger können nachhaltige Lösungen zur Bekämpfung solcher Scams gefunden werden. Die nächste Generation von Investitionsbetrügern wird zweifellos noch raffinierter agieren – Wachsamkeit bleibt daher unverzichtbar.
