UPDATE: Inzwischen hat eine Buzzfeed Recherche ein wenig Licht in die Prozesse einer solchen Organisation gebracht. Hier geht es zu meinen Gedanken dazu.
In meiner Blogger-Laufbahn habe ich ja schon einige absurde Dinge erlebt. Von hunderten Elon-Musk Fake-Accounts bis zu den Hintermännern meines Spams.
Aber bei keiner dieser Geschichten habe ich so oft an meiner geistigen Gesundheit gezweifelt, wie bei dieser hier.
Mein Abstieg in die Paranoia beginnt mit einem Tweet von Armin Wolf (Für meine deutschen Leser: ein sehr bekannter Journalist und News-Anchor in Österreich):
So weit, so einfach: irgendjemand schaltet Facebook-Werbung mit dem Gesicht von Armin Wolf. Das überrascht mich nicht weiter – nur der Inhalt der Werbung ist schon interessant.
Armin Wolf wurde nicht aus seiner Position entfernt. Haben wir es hier mit Fake-News zu tun?
Und dann sehe ich, von welcher Facebook-Page diese Werbung ausgespielt wird.
Fire Opal.
Inzwischen erkenne ich Fake-Pages und Fake-Twitter-Accounts mit einer Genauigkeit, die (a) bedenklich und (b) eigentlich ziemlich nützlich ist.
Ich suche die Page auf Facebook, und tatsächlich, es handelt sich um eine Seite, die von Opalen handelt. Wunderschön:
Erster Gedanke: what the hell.
Zweiter Gedanke: Detektivmodus AKTIVIERT. Das wird eine lange Nacht.
Direkt unter dem Tweet von Wolf hat jemand einen Link zu Mimikama – einem Verein zur Aufklärung von Internetmissbrauch – gelinkt.
Es zeigt sich schnell: Weder ist das ein Problem, das nur Armin Wolf hat (Günter Jauch und Thomas Gottschalk sind ebenfalls betroffen), noch scheint es sich hier um ein Fake-News-Schema aus Russland zu handeln.
Es ist – laut dem Artikel – ein simples Betrugsschema, das in drei Schritten abläuft:
- Facebook Werbeanzeige, die zum Klicken bewegt
- Eine Webseite, die lang und ausführlich erklärt, dass Armin Wolf es nicht mehr ertragen kann, das Geheimnis seines Reichtums VOR DIR GEHEIM ZU HALTEN. Die Links führen alle zu:
- Einer Kryptowährungs-„Börse“ (die nichts mit seriösen Krypto-Angeboten zu tun hat), die schnellen Reichtum verspricht.
Supi, Rätsel gelöst. Ich gehe ins Bett. Blogartikel Ende.
Oder doch nicht? Mein Jagdtrieb wurde geweckt. Ich verstehe so Vieles noch nicht. Ich will das gesamte Netzwerk. Ich will vielleicht sogar die Personen dahinter.
Opale, Fische, Achterbahn
Nein, das sind keine Rammstein-Lyrics.
Im Artikel von Mimikama finde ich zu Schritt 2 (die Webseite, die dir endlosen Reichtum verkaufen will) einen Screenshot eines Fake-Kronenzeitungsartikel. Zum Glück ist der Link im Screenshot zu sehen.
Ich tippe ihn ab, und – shit. Nichts. Die Seite ist nicht mehr online.
Zeit, OSINT zu betreiben. Informationsfindung. Eines fällt mir irgendwie auf. Der Screenshot auf Mimikama zeigt eine Webseite namens Breadsupserstore. Und die Page Fire Opal hat auch auf eine andere Webseite namens onradarpies gelinkt.
Zwei Rezeptseiten, die mit dieser Facebook Seite verbunden zu sein scheinen.
Zufall?!?!?
Ich glaube nicht.
Zum Glück ist der Bread Super Store noch online:
Also entweder die Seite ist aus 1990, oder Fake. Aber strange: lies dir den Namen des “Rezeptes” durch.
Wat. Warum sollte Armin Wolf wegen seinem Mais-Sandwich in Probleme geraten sein? Das macht alles keinen Sinn.
Ich brauche mehr Infos.
Und da Fake-Accounts meist in Rudeln in der freien Wildbahn anzutreffen sind, beginne ich hier.
Und finde: über 10 Facebook-Pages, die in irgendeiner Art und Weise auf Fake-Rezept-Seiten verlinken:
Hier fallen ein paar Dinge sofort auf:
- Die Pages sind sehr jung
- Haben alle um die 1.000 Likes
- Und wurden in Schüben erstellt
Du fragst dich vielleicht, wie ich alle diese Seiten gefunden habe? Ich würde dir gerne irgendeinen Elite-Hacker-Trick verraten, aber die Realität ist: Ich habe mich durch die “ähnliche Seiten” Sidebar durchgeklickt. Und irgendwann ein Auge dafür entwickelt, welche Seiten Fake sind.
Hier ein paar der Posts:
Ich bin ausgezogen, um einen Armin-Wolf-Scam zu analysieren, und finde Rezeptseiten. Meh. Aber irgendeine Connection ist da.
bestpricedherbs
Eine der Pages verlinkt zu Bestpricedherbs.
Bingo.
Da hat jemand den Blog von Armin Wolf 1:1 auf seine Rezeptseite gespiegelt. Bzw.: eine Unterseite davon.
Dann noch eine Page, die auf eine kopierte Version der Kleinen Zeitung verlinkt. Und zwar, das verrät der Timestamp unter dem Suchfeld, am 3. September.
Warum das alles? Keinen Plan. Ich werde immer ratloser. Vor Allem: Wer nennt eine Facebook Page „Schindler’s Fist“?!
Aber irgendetwas ist da, ich fühle es. Ich sehe mir alle anderen verlinkten Rezeptseiten (13 an der Zahl) an:
Und finde überall das Selbe: eine Low-Quality-Rezeptseite.
Einige der Webseiten sind bereits gesperrt oder nicht mehr Online. Was für mich bedeutet: irgendetwas ist hier faul. Dass 6 Webseiten vor meiner Nase gesperrt werden, oder offline gehen, da muss irgendeine Verbindung da sein.
Vielleicht werde ich aber auch langsam paranoid.
Personen, die “Aluhut” gekauft haben, interessiert auch…
Dann geht es Schlag auf Schlag. Ich finde folgende Seite. Bitte sag mir, was ich davon halten soll:
Eine Rezeptseite, wo alle Bilder durch Armin Wolf ersetzt wurden. Schön langsam glaube ich, irgendjemand verarscht mich.
Dann sehe ich mir den Quelltext der Rezeptseiten an, und drehe vollends durch:
Jede der Webseiten hat ein Logo, dessen Dateiname mit “random_logo_” beginnt.
Unpackbar. 😳
Zeit für einen Recap:
- Wir haben viele Fake-Facebook Pages, die irgendwann einmal auf eine Rezeptseite verlinkt haben
- Diese Rezeptseiten sind alle low-quality, haben ein Logo, das mit random_logo_ beginnt
- Manche davon enthalten gespiegelte Versionen der Kleine Zeitung oder des Blogs von Armin Wolf
- Keine Verbindung zum von Mimikama erwähnten Kryptowährungs-Scam – außer eben der Artikel von Mimikama
- Mein Geisteszustand: war schon mal besser
Ich vermute, dass unser Akteur immer 1-2 verschiedene Werbeanzeigen aus seinem Netzwerk laufen hat. Die von Mimikama aufgedeckte ist schon wieder deaktiviert worden – und ich konnte einfach nur keine Seite finden, wo dieser Mechanismus gerade aktiv war. Deshalb fehlt mir hier die Verbindung zur Krypto-Plattform.
Es fehlt eine Zutat (hehe)
Fake-Facebook-Pages und (wahrscheinlich automatisiert) erstellte Webseiten schön und gut, aber zum Spaß macht das niemand.
Da passiert es: Ich werde endlich auf Facebook mit genau solchen Werbeanzeigen bespielt.
Ich kenne Herrn Stumpf nicht, aber sein Geheimnis für Reichtum schaue ich mir doch gerne an! Hier schließt sich auch endlich der Kreis zu den Kryptowährungen. Im Fake-Krone-Artikel finden sich hunderte Links zu folgender Seite:
Im Quellcode des Kronenzeitungs-Fakes finde ich dann folgendes kleines Ding:
Cloaking. Was ist das? Ich finde das auf allen Armin-Wolf-Unterseiten, aber nicht auf den Rezeptseiten selbst. Ich suche in einschlägigen Foren und finde einen Beitrag:
Aha.
Der ganze Aufwand… für das?!
Als Cloaking bezeichnet man, wenn man die Inhalte einer Webseite verschleiern möchte. Und zwar vor bestimmten Nutzern. Diese “Nutzer” können aber auch die automatischen Systeme von Facebook oder Google sein.
Da fällt es mir wie Schuppen von den Augen.
Facebook hat ja eigentlich jegliche Werbung für Kryptowährungen verboten. Weil da zu viele Betrugsmaschen am Laufen sind.
Das hält natürlich das Internet nicht davon ab, es trotzdem zu versuchen.
Und da kommt Cloaking ins Spiel. Mit einem Pentesting-Tool verifiziere ich meine These:
Fake ich, dass ich ein Google-Bot bin, komme ich auf einen Online-Shop, der mir “Krieg und Frieden in der Neuesten Geschichte Italiens” verkaufen möchte.
Bin ich ein normaler User, kriege ich den Fake-Krone-Artikel, inklusive nachgelagerter Betrugsmasche.
Down the rabbit hole
Endlich weiß ich also , was dahinter steckt:
- Die Kryptowährungs-Betrugsmaschen gibt es schon ewig, die sind gleich geblieben.
- Nur hat Facebook Werbung für so etwas von der eigenen Plattform verbannt.
- Facebook versucht automatisiert herauszufinden, ob die Werbung, die geschalten wird, gegen Richtlinien verstößt.
- Genau hier setzt unser Akteur an:
- Er legt eine Webseite an, die so echt wie möglich aussieht (unsere Rezeptseiten)
- Erstellt Facebook-Pages, die so echt wie möglich aussehen (die Seite über Opale zum Beispiel)
- Schaltet Werbung mit Prominenten, um möglichst viele Personen zum Klicken zu bewegen
- Durch Cloaking wird der tatsächliche Inhalt vor den Automatismen von Facebook versteckt
- Es fließt Geld (?)
Aber zwei Fragen sind noch offen:
Was hat Armin Wolf damit zu tun?
Nichts.
Die Bilder von Celebrities werden verwendet, damit die Betrugsopfer klicken. Das war’s. Vielleicht hat sich herausgestellt, dass Herr Wolf in Österreich eine viel höhere Klickrate hat, als beispielsweise Herr Gottschalk?
Wie viel Geld kann man damit verdienen?
Sieht man sich das Netzwerk unseres Akteurs an, sieht man, wie viel Aufwand es eigentlich sein muss, das ganze Ding aufrecht zu erhalten:
Was unweigerlich zur Frage führt: wie viel Geld lässt sich damit verdienen?
Hier habe ich leider keine zufriedenstellende Antwort gefunden. Aber in einer Recherche des NDR wurde bekannt, dass die “KOMM IN MEINE WHATSAPP GRUPPE”-Jungs (deren Scam vergleichbar mit diesem ist), 250 Euro pro angemeldetem User bekommen haben.
Da fehlen natürlich noch einige Zahlen in dieser Gleichung (wie viele Personen klicken, wie viele melden sich an? Was ist der Customer Lifetime Value?), aber für eine der Facebook-Werbungen konnte ich folgende Zahlen finden:
100 bis 500 Dollar ausgegebener Betrag für diese Werbung. Das muss man sich mal leisten können. Irgendwie scheint es sich also schon zu rechnen.
Fazit
What a ride. Eigentlich wollte ich die Hintermänner ausfindig machen, aber das gesamte Netzwerk scheint ziemlich gut abgesichert zu sein (keine Domains, wo Namen hinterlegt sind, …). Hier habe ich also keine Person, die man klagen könnte.
Aber immerhin, mein Jagdtrieb ist wieder für eine Weile gestillt. Und wieder einiges über die Tactics, Tools und Procedures der Betrüger gelernt.
Sorry Herr Wolf. Das wird wohl noch eine Weile so weitergehen.
UPDATE: Inzwischen hat eine Buzzfeed Recherche ein wenig Licht in die Prozesse einer solchen Organisation gebracht. Hier geht es zu meinen Gedanken dazu.