2019-09-12 10 Minuten

Nein, Armin Wolf verrät dir nicht das Geheimnis endlosen Reichtums (leider)

Bei keiner Geschichte meiner Bloggerlaufbahn bisher habe ich so oft an meiner geistigen Gesundheit gezweifelt, wie bei dieser hier.

In meiner Blogger-Laufbahn habe ich ja schon einige absurde Dinge erlebt. Von hunderten Elon-Musk Fake-Accounts bis zu den Hintermännern meines Spams.

Aber bei keiner dieser Geschichten habe ich so oft an meiner geistigen Gesundheit gezweifelt, wie bei dieser hier.

Mein Abstieg in die Paranoia beginnt mit einem Tweet von Armin Wolf (Für meine deutschen Leser: ein sehr bekannter Journalist und News-Anchor in Österreich):

So weit, so einfach: irgendjemand schaltet Facebook-Werbung mit dem Gesicht von Armin Wolf. Das überrascht mich nicht weiter – nur der Inhalt der Werbung ist schon interessant.

Armin Wolf wurde nicht aus seiner Position entfernt. Haben wir es hier mit Fake-News zu tun?

Und dann sehe ich, von welcher Facebook-Page diese Werbung ausgespielt wird.

Fire Opal.

Inzwischen erkenne ich Fake-Pages und Fake-Twitter-Accounts mit einer Genauigkeit, die (a) bedenklich und (b) eigentlich ziemlich nützlich ist.

Ich suche die Page auf Facebook, und tatsächlich, es handelt sich um eine Seite, die von Opalen handelt. Wunderschön:

Erster Gedanke: what the hell.

Zweiter Gedanke: Detektivmodus AKTIVIERT. Das wird eine lange Nacht.

Direkt unter dem Tweet von Wolf hat jemand einen Link zu Mimikama – einem Verein zur Aufklärung von Internetmissbrauch – gelinkt.

Es zeigt sich schnell: Weder ist das ein Problem, das nur Armin Wolf hat (Günter Jauch und Thomas Gottschalk sind ebenfalls betroffen), noch scheint es sich hier um ein Fake-News-Schema aus Russland zu handeln.

Es ist – laut dem Artikel – ein simples Betrugsschema, das in drei Schritten abläuft:

  1. Facebook Werbeanzeige, die zum Klicken bewegt
  2. Eine Webseite, die lang und ausführlich erklärt, dass Armin Wolf es nicht mehr ertragen kann, das Geheimnis seines Reichtums VOR DIR GEHEIM ZU HALTEN. Die Links führen alle zu:
  3. Einer Kryptowährungs-„Börse“ (die nichts mit seriösen Krypto-Angeboten zu tun hat), die schnellen Reichtum verspricht.

Supi, Rätsel gelöst. Ich gehe ins Bett. Blogartikel Ende.

Oder doch nicht? Mein Jagdtrieb wurde geweckt. Ich verstehe so Vieles noch nicht. Ich will das gesamte Netzwerk. Ich will vielleicht sogar die Personen dahinter.

Opale, Fische, Achterbahn

Nein, das sind keine Rammstein-Lyrics.

Im Artikel von Mimikama finde ich zu Schritt 2 (die Webseite, die dir endlosen Reichtum verkaufen will) einen Screenshot eines Fake-Kronenzeitungsartikel. Zum Glück ist der Link im Screenshot zu sehen.

Ich tippe ihn ab, und – shit. Nichts. Die Seite ist nicht mehr online.

Zeit, OSINT zu betreiben. Informationsfindung. Eines fällt mir irgendwie auf. Der Screenshot auf Mimikama zeigt eine Webseite namens Breadsupserstore. Und die Page Fire Opal hat auch auf eine andere Webseite namens onradarpies gelinkt.

Zwei Rezeptseiten, die mit dieser Facebook Seite verbunden zu sein scheinen.

Zufall?!?!?

Ich glaube nicht.

Zum Glück ist der Bread Super Store noch online:

Also entweder die Seite ist aus 1990, oder Fake. Aber strange: lies dir den Namen des “Rezeptes” durch.

Wat. Warum sollte Armin Wolf wegen seinem Mais-Sandwich in Probleme geraten sein? Das macht alles keinen Sinn.

Ich brauche mehr Infos.

Und da Fake-Accounts meist in Rudeln in der freien Wildbahn anzutreffen sind, beginne ich hier.

Und finde: über 10 Facebook-Pages, die in irgendeiner Art und Weise auf Fake-Rezept-Seiten verlinken:

Hier fallen ein paar Dinge sofort auf:

  • Die Pages sind sehr jung
  • Haben alle um die 1.000 Likes
  • Und wurden in Schüben erstellt

Du fragst dich vielleicht, wie ich alle diese Seiten gefunden habe? Ich würde dir gerne irgendeinen Elite-Hacker-Trick verraten, aber die Realität ist: Ich habe mich durch die “ähnliche Seiten” Sidebar durchgeklickt. Und irgendwann ein Auge dafür entwickelt, welche Seiten Fake sind.

Hier ein paar der Posts:

Ich bin ausgezogen, um einen Armin-Wolf-Scam zu analysieren, und finde Rezeptseiten. Meh. Aber irgendeine Connection ist da.

bestpricedherbs

Eine der Pages verlinkt zu Bestpricedherbs.

Bingo.

Da hat jemand den Blog von Armin Wolf 1:1 auf seine Rezeptseite gespiegelt. Bzw.: eine Unterseite davon.

Dann noch eine Page, die auf eine kopierte Version der Kleinen Zeitung verlinkt. Und zwar, das verrät der Timestamp unter dem Suchfeld, am 3. September.

Warum das alles? Keinen Plan. Ich werde immer ratloser. Vor Allem: Wer nennt eine Facebook Page „Schindler’s Fist“?!

Aber irgendetwas ist da, ich fühle es. Ich sehe mir alle anderen verlinkten Rezeptseiten (13 an der Zahl) an:

Und finde überall das Selbe: eine Low-Quality-Rezeptseite.

Einige der Webseiten sind bereits gesperrt oder nicht mehr Online. Was für mich bedeutet: irgendetwas ist hier faul. Dass 6 Webseiten vor meiner Nase gesperrt werden, oder offline gehen, da muss irgendeine Verbindung da sein.

Vielleicht werde ich aber auch langsam paranoid.

Personen, die “Aluhut” gekauft haben, interessiert auch…

Dann geht es Schlag auf Schlag. Ich finde folgende Seite. Bitte sag mir, was ich davon halten soll:

Eine Rezeptseite, wo alle Bilder durch Armin Wolf ersetzt wurden. Schön langsam glaube ich, irgendjemand verarscht mich.

Dann sehe ich mir den Quelltext der Rezeptseiten an, und drehe vollends durch:

Jede der Webseiten hat ein Logo, dessen Dateiname mit “random_logo_” beginnt.

Unpackbar. 😳

Zeit für einen Recap:

  • Wir haben viele Fake-Facebook Pages, die irgendwann einmal auf eine Rezeptseite verlinkt haben
  • Diese Rezeptseiten sind alle low-quality, haben ein Logo, das mit random_logo_ beginnt
  • Manche davon enthalten gespiegelte Versionen der Kleine Zeitung oder des Blogs von Armin Wolf
  • Keine Verbindung zum von Mimikama erwähnten Kryptowährungs-Scam – außer eben der Artikel von Mimikama
  • Mein Geisteszustand: war schon mal besser

Ich vermute, dass unser Akteur immer 1-2 verschiedene Werbeanzeigen aus seinem Netzwerk laufen hat. Die von Mimikama aufgedeckte ist schon wieder deaktiviert worden – und ich konnte einfach nur keine Seite finden, wo dieser Mechanismus gerade aktiv war. Deshalb fehlt mir hier die Verbindung zur Krypto-Plattform.

Es fehlt eine Zutat (hehe)

Fake-Facebook-Pages und (wahrscheinlich automatisiert) erstellte Webseiten schön und gut, aber zum Spaß macht das niemand.

Da passiert es: Ich werde endlich auf Facebook mit genau solchen Werbeanzeigen bespielt.

Ich kenne Herrn Stumpf nicht, aber sein Geheimnis für Reichtum schaue ich mir doch gerne an! Hier schließt sich auch endlich der Kreis zu den Kryptowährungen. Im Fake-Krone-Artikel finden sich hunderte Links zu folgender Seite:

Im Quellcode des Kronenzeitungs-Fakes finde ich dann folgendes kleines Ding:

Cloaking. Was ist das? Ich finde das auf allen Armin-Wolf-Unterseiten, aber nicht auf den Rezeptseiten selbst. Ich suche in einschlägigen Foren und finde einen Beitrag:

Aha.

Der ganze Aufwand… für das?!

Als Cloaking bezeichnet man, wenn man die Inhalte einer Webseite verschleiern möchte. Und zwar vor bestimmten Nutzern. Diese “Nutzer” können aber auch die automatischen Systeme von Facebook oder Google sein.

Da fällt es mir wie Schuppen von den Augen.

Facebook hat ja eigentlich jegliche Werbung für Kryptowährungen verboten. Weil da zu viele Betrugsmaschen am Laufen sind.

Das hält natürlich das Internet nicht davon ab, es trotzdem zu versuchen.

Und da kommt Cloaking ins Spiel. Mit einem Pentesting-Tool verifiziere ich meine These:

Fake ich, dass ich ein Google-Bot bin, komme ich auf einen Online-Shop, der mir “Krieg und Frieden in der Neuesten Geschichte Italiens” verkaufen möchte.

Bin ich ein normaler User, kriege ich den Fake-Krone-Artikel, inklusive nachgelagerter Betrugsmasche.

Down the rabbit hole

Endlich weiß ich also , was dahinter steckt:

  1. Die Kryptowährungs-Betrugsmaschen gibt es schon ewig, die sind gleich geblieben.
  2. Nur hat Facebook Werbung für so etwas von der eigenen Plattform verbannt.
  3. Facebook versucht automatisiert herauszufinden, ob die Werbung, die geschalten wird, gegen Richtlinien verstößt.
  4. Genau hier setzt unser Akteur an:
  5. Er legt eine Webseite an, die so echt wie möglich aussieht (unsere Rezeptseiten)
  6. Erstellt Facebook-Pages, die so echt wie möglich aussehen (die Seite über Opale zum Beispiel)
  7. Schaltet Werbung mit Prominenten, um möglichst viele Personen zum Klicken zu bewegen
  8. Durch Cloaking wird der tatsächliche Inhalt vor den Automatismen von Facebook versteckt
  9. Es fließt Geld (?)

Aber zwei Fragen sind noch offen:

Was hat Armin Wolf damit zu tun?

Nichts.

Die Bilder von Celebrities werden verwendet, damit die Betrugsopfer klicken. Das war’s. Vielleicht hat sich herausgestellt, dass Herr Wolf in Österreich eine viel höhere Klickrate hat, als beispielsweise Herr Gottschalk?

Wie viel Geld kann man damit verdienen?

Sieht man sich das Netzwerk unseres Akteurs an, sieht man, wie viel Aufwand es eigentlich sein muss, das ganze Ding aufrecht zu erhalten:

Was unweigerlich zur Frage führt: wie viel Geld lässt sich damit verdienen?

Hier habe ich leider keine zufriedenstellende Antwort gefunden. Aber in einer Recherche des NDR wurde bekannt, dass die “KOMM IN MEINE WHATSAPP GRUPPE”-Jungs (deren Scam vergleichbar mit diesem ist), 250 Euro pro angemeldetem User bekommen haben.

Da fehlen natürlich noch einige Zahlen in dieser Gleichung (wie viele Personen klicken, wie viele melden sich an? Was ist der Customer Lifetime Value?), aber für eine der Facebook-Werbungen konnte ich folgende Zahlen finden:

100 bis 500 Dollar ausgegebener Betrag für diese Werbung. Das muss man sich mal leisten können. Irgendwie scheint es sich also schon zu rechnen.

Fazit

What a ride. Eigentlich wollte ich die Hintermänner ausfindig machen, aber das gesamte Netzwerk scheint ziemlich gut abgesichert zu sein (keine Domains, wo Namen hinterlegt sind, …). Hier habe ich also keine Person, die man klagen könnte.

Aber immerhin, mein Jagdtrieb ist wieder für eine Weile gestillt. Und wieder einiges über die Tactics, Tools und Procedures der Betrüger gelernt.

Sorry Herr Wolf. Das wird wohl noch eine Weile so weitergehen.

Von Hackern, Wordpress, SEO & Co

  • Wo kommt mein Spam her?
  • Wie leicht ist es, eine Wordpress Seite zu hacken?
  • Wie Umzugsfirmen ihre Gaunereien mit SEO umsetzen

...wöchentlich in deiner Inbox! 🚀

8 Kommentare

  1. Danke! Wieder einmal SUPER recherchiert und etwas Licht in diese Sachen gebracht…. wenn auch nicht ganz – denn diese Schweinsgrammeln – wie ich sie immer bezeichne – sind einfach mit allen Wassern gewaschen. Wie erwähnt – es muss noch immer genug Naive geben die darauf reinfallen – SONST würden sie sich den Aufwand nicht antun – diese … eh schon wissen! 🙂

  2. Anfang September hatte mich eine FB-Freundin darauf aufmerksam gemacht, dass mit einem Foto ihres handgefertigter Mittelaltermantels auf verschiedenen Webshopseiten, die auf FB Werbung geschaltet hatten, zu einem Kampfpreis geworben wird.
    Daraufhin sind mir in den folgenden Tagen mehr und mehr Werbeanzeigen von nahezu identischen Modeshops in die Timline gespammt.
    Offensichtlich haben sich hier Betrüger aus China mit geklauten Fotos von BloggerInnen und von Pinterest Shops eingerichtet, wohl auch um Clickbait zu betreiben. Innerhalb von nur 24Stunden konnte ich mehr als 80 solcher beworbenen Seiten bei Facebook als Scam melden.
    Für die Anzeigen, die schon etwas länger im Netz herumschwirrten und Kundinnen Bestellungen aufgaben, kam entweder nie die Ware an und falls doch mal Ware geliefert wurde, war sie von äußerst minderer Qualität.
    Auch hier zeigt eigentlich der gesunde Menschenverstand, dass das Foto von einem qualitativ hochwertigem Produkt/Kleidungsstück nicht für wenige Euro zu haben sein kann. Und dass verschiedene Shops die identischen Fotos von den Produkten verwenden kann ja auch nur auf Fake hindeuten.

    Hier die Liste der von mir am 08. September gemeldeten Fake-Shop Werbeanzeigen an Facebook (zu den Shops kommt man, wenn man hinter den Namen noch ein .com anfügt):
    Fairfillyshop
    YoumeChic
    Berylpick
    Narvaly
    Wanabone
    Plusizebra
    Missmoana
    Enparating
    Floralince
    Fashonearby
    Novelarrival
    Mocolike
    Shefairy
    Ciliove
    Stylelinth
    Amochic
    Gohosen
    Alicemelle
    Levousok
    Modlily
    Sherrychic
    Alonemy
    Newchic + Newchic Shoes + Newchic Women
    Heyjulike
    Fillezone
    Detopseller
    Prettibay
    Queenee
    Kikilike
    Abworthy
    Vinusnow
    Yumilor
    Yumelove
    KittyMia
    Honeystar
    Bohoolove
    Lovetomore
    GoBrashop
    Couleudream
    Gracydress
    Inshara
    TransitTop
    Classymett
    Trendycindy
    Sunnyome
    Lovicent
    YoPopstyle
    Hottow
    Skrladies
    Beautythee
    Mittylike
    Aiiview
    Clotheslot
    Topsheshop
    Ssolady
    Boboladedress
    Firmstars
    Thelaka
    Tomoting
    Florasomos
    Biutiflow
    Goinonus
    Popmarkco
    Shegoeschic
    Newlookfit
    Mybohowear
    Didorl
    Lorencona
    Lifeoes
    Yolikeshop
    Schelixir
    Wolwo6
    Clothandroses

  3. Diesen Beitrag der Fakeseite Templi grechi hatte ich neulich exakt so im Newsfeed, und man muss schon relativ dumm sein, um auf etwas reinzufallen, das dermaßen extrem nach „Clickbait“ schreit. Trotzdem interessant, hier nun nachzulesen, was es genau war, und wie die offenbar arbeiten.

    Viel schlimmer als die dummen Opfer sind ja selbstverständlich die Betrüger, denen ich im Affekt, wenn ich so etwas dann vernehme, das Allerschlimmste wünsche. Was ist das für Abschaum, der sich einfach mal entscheidet, anderen zu schaden, um sich selbst zu bereichern?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.