Webseiten im seriösen redaktionellen Gewand, die das grosse Bitcoin- oder Trading-Glück ohne Vorwissen und Technologieknowhow versprechen, gehören zu übelsten Sorte “Cyber Crime”. Übel vor allem deswegen weil sie im seriösen Layout daherkommen, das Design von bekannten Medienmarken kopieren und mit prominenten Gesichtern werben (wir erinnern uns an Roger Federer bei einer Fake-SRF-Webseiten). Und formal alle Spielregeln einhalten: es ist eine Webseite mit gültigen Webzertifikat, die von den Browsern als unproblematisch eingestuft werden. Ausserdem können mit Textgeneratoren wie ChatGPT im Nu passable Texte kreiert werden.
Wer den Versprechungen Glauben schenkt, landet dann auf ebenfalls vermeintlich seriösen Trading-Plattformen bei denen das grosse Geld versprochen wird. Man müsse nur ein klitzekleines “Investment” von paar hundert Euro tätigen und…ihr ahnt es: es endet meist übel mit viel Verlust für den Internetnutzer.
Leider gibt es nun einen neuen Case in der Geschichte der Schweizer Internetbetrügereien: Die Webseite gesavee.com wird als Anzeige beworben mit dem Gesicht von Bundespräsidenten und Noch-SP-Bundesrat Alain Berset in ernster Miene, die Vorschau/Titel enthalten kryptischen fehlerhaften Inhalt (“Offizielle Plattform”, “Grossartige redaktionelle arbeit”). Das Logo ist von 20 Minuten geklaut, das Design der Webseite gesavee.com ebenso. Der Text dreht sich um zwei Schweizer Informatiker die das grosse Trading-Versprechen machen (7000 Franken verdienen pro Tag) und bei der “Höhle der Löwen” (einer Reality TV-Show, bei der Startup-Gründer:innen ihre Produktidee bei einer Reihe von vermögenden Investor:innen pitchen können) begeisterte Investoren gefunden haben. Die Folge konnte leider nie ausgestrahlt werden (Ironie off). Das Juror:innen/Investor:innen-Team wird dabei auch noch abgebildet im Artikel. Die Story ist natürlich Fake.
Geschrieben ist das Ganze mit etwas erratischer Gross/Klein-Rechtschreibung, aber ansonsten in passablem Deutsch. Die geübte Leserin wird bei diesem Stil trotzdem Red Flags erkennen und zwar spätestens beim Anblick der URL im Browser, das eben keine “20minuten.ch” darstellt. Die Webseite wird von Cloudflare gehostet.
Wem die Geschichte der gefakten “Höhle der Löwen”-Geschichte bekannt vorkommt: Ein Team rund um meine Kolleg:innen Franziska Tschinderle und Ilir Tsouko hatten im März 2023 ein Scam-Netzwerk entlarvt, die genau so ihren Anfang nahm: Es handelte sich um eine Trading-Plattform BrokerZ, die als vermeintliche Erfolgsstory der “Höhle der Löwen”-Show verkauft wurde. Der Fake-Medieninhalt wurde als Werbebanner bei T-Online eingeblendet. Die beiden Journalist:innen haben das Phänomen des gefährlichen Cyber-Trading anschaulich für die Republik aufgeschrieben. In jenem Fall operierte die Plattformen wahrscheinlich von Israel aus. Die Call Centers mit Fake-Mitarbeitende, die sich im Namen der Firma ausgeben, sitzen dafür meist in Süd- oder Osteuropa. Dabei werden vor allem europäische Internetnutzer:innen über den Tisch gezogen. In Deutschland alleine sprechen die Ermittlungsbehörden von einem Schaden von 100 Millionen Euro.
Und wer die Geschichte der “Gas-Trading”-Plattform auch schon einmal gehört hat: Vor ziemlich genau einem Jahr war Blick.ch das Opfer mit genau derselben Masche. Selbe Geschichte, selbes Versprechen, selbe Masche (Artikel im redaktionellen Blick-Gewand).
Nun gut: ich sah diese Anzeige also auf Youtube und bei Gmail eingeblendet, mehrfach und prominent seit etwa 4 Wochen. Ich hab sie bereits 2 Mal gemeldet. Bis heute ist sie nicht verschwunden. Als Werbetreibender wird ein Unternehmen namens “HongKong Luckstar Technology Ltd.” angezeigt.
“Die LuckStar Technology (die mit der Lucky Star Technology auch aus HK verwechselt werden kann) wurde am 13.11. schon bei Google gemeldet, aber damals nur für Kanada” sagt AdFraud- und Digital Forensics-Experte Michael Maurantonio, dem ich die Anzeigen vorgelegt habe. Wer die Anzeigen noch nicht entdeckt hat, aber sich ein Bild davon machen möchte (als Präventionsmassnahme): Hier sind die Anzeigen dieser dubiosen HongKong LuckStar Technology bei Google angezeigt und hier die entsprechende Werbeinhalt zu GeSavee.com. Die HongKong Luckstar Technology Ltd bewirbt im deutschsprachigen Raum auch noch eine andere dubiose Webseite namens innovationaktuell.de, die im selben 20 Minuten-Layout daherkommt. AdFraud-Analytiker Maurantonio fand anhand des Tools urlscan.io noch weitere mit Gesavee.com verbundene Webseiten, darunter blliick-article.com, nzz4.com, swissnewss.club oder nowaustria.net, alles Webseiten die seriöse Medieninhalte “imitieren” und auf andere Trading-Plattformen locken. Er entdeckte hinter dem redaktionellen Netzwerk das Tool einer niederländische Affiliate Marketing-Firma namens “Quality Unit”, die die entsprechenden Fake-Medienseiten vermarktet. Maurantonio sagt dazu: “Affiliate Link dienen dabei herauszufinden, welche Scam-Site am besten funktioniert hat, damit die Betrüger so auch Logo, Inhalte etc. anpassen können.”
Im Fall der Fake-Blick-Mediensite hatte ein Betroffener namens Theo Graf auf eigene Faust recherchiert. Er gelangte wegen eines Fake-Blick-Artikels Trading-Plattform Capitalix, bei der er viel Geld investierte…und auch verlor. Das damit verbundene Unternehmen 4Square SY befand sich im Inselstaat Seychellen und ein anderes gleichlautendes ebenfalls verbundenes Unternehmen 4Square (CY) Ltd in Zypern.
Ich habe Google direkt angefragt, weshalb sie nicht auf die Reports und Meldungen reagieren. Schliesslich verstossen solche Anzeigen gegen ihren eigenen Werberichtlinien (“inakzeptable Geschäftspraktiken”). Ausserdem möchte ich auch eine Antwort von 20 Minuten.ch und zwar auf die Frage, was sie davon halten, dass in ihrem Namen ein offensichtlicher Scam durchgeführt wird (bei dem in diesen Minuten wohl einige Schweizer:innen um viel Geld geprellt werden). Ebenfalls warte ich auf die Stellungnahmen von Cloudflare (Hosting-Service) und Quality Unit (Affiliate Link Marketing).
Alle Antworten werde ich hier nachführen im Verlauf des Tages.
Update 11:30 am 27.11.2023: Hier die Stellungnahme von Eliane Loum-Gräser, Mediensprecherin von 20 Minuten: “Leider kursieren in unregelmässigen Abständen immer wieder betrügerische Inserate mit unserem Logo. Wir bekämpfen diese mit allen uns zur Verfügung stehenden Mitteln. Die Absender befinden sich jedoch meist im Ausland und wechseln ihre IP-Adressen regelmässig, was eine Verfolgung auf dem juristischen Weg stark erschwert. Seit einigen Monaten setzen wir mit Unterstützung des Security Office der TX Group eine spezialisierte Software ein, um solche illegalen Inserate auf den Sozialen Medien und im Web schneller aufzuspüren und diese den publizierenden Seiten zu melden. Selbstverständlich würden wir erwarten, dass auch die grossen Tech-Plattformen stärker gegen betrügerische Anzeigen vorgehen. Unsere Leserinnen und Leser warnen wir in redaktionellen Beiträgen vor den Anzeigen (https://www.20min.ch/story/nein-berset-wurde-nicht-verhaftet-271399250425 und https://www.20min.ch/story/in-eigener-sache-betrueger-werben-mit-gefaelschten-20-minuten-artikeln-244259829690)“
Update: 10:20 am 28.11.2023: Die Antwort von Google ist eingetrudelt: Die entsprechende Anzeige wurde geprüft und entfernt! Es gibt keine Inhalte mehr der HongKong Luckstar Technology Ltd. Eine Google-Sprecherin sagt dazu: “Wir haben strenge Werberichtlinien, welche festlegen, welche Anzeigen auf unseren Plattformen zugelassen sind. Wir setzen diese Richtlinien konsequent um. Wenn festgestellt wird, dass Werbeanzeigen gegen diese Google Ads-Richtlinien verstossen, so werden diese entfernt, der Werbetreibende wird gewarnt, und es können Massnahmen ergriffen werden bis zur Kontosperrung. So wurden im Jahr 2022 mehr als 6,7 Millionen Kundenkonten gesperrt, über 5,2 Milliarden Anzeigen entfernt, das entspricht einem Anstieg von 2 Milliarden entfernten Anzeigen im Vergleich zum Jahr 2021.”
Update: 11:02 am 28.11.2023: Der Werbetreibende HongKong Luckstar Technology Ltd. ist gesperrt, das entsprechende Google Ads-Konto nicht mehr auffindbar (dieser könnte sich allenfalls noch gegen die Sperrung wehren).
10 Antworten
Von diesen Seiten gibt es hunderte, auch mit Bild.de usw. Facebook ist auch voll mit «Anzeigen», die auf solche Seiten verlinken.
Keine Ahnung, wie das überhaupt möglich ist. Das ist doch trivial zu erkennen. Außerdem sollte man zahlende Werbekunden und somit die Täter doch identifizieren können.
Ja was mich erstaunt: selbst nach Hinweis reagieren die Big Tech-Firmen nicht. Was für mich ein Beweis ist: es findet eine formale Überprüfung, aber nicht ein inhaltlicher Check statt.
Diese Posts sind doch wirklich problemlos als Scam zu erkennen. Wollen wir wirklich, dass die Big Tech Firmen inhaltlich prüfen, was wir auf ihren sozialen Plattformen inhaltlich austauschen?
Google hat selber Richtlinien aufgestellt dazu: https://support.google.com/adspolicy/answer/6020955?hl=de Und diese Werbung verstösst klar dagegen. Das ist vielleicht für Sie problemlos, der differenzierten kann, aber die Irreführung mit dem ähnlichen Markendesign von 20 Minuten ist auch aus unternehmerischer Sicht für die Medien ein Problem. Und die Scams werden immer raffinierter und ausgefeilter. Irgendwann kennen wir alle jemanden aus der Familie oder Freundeskreis, der so Geld verloren hat.
Wenn ich schon lese: “bisher nicht ausgestrahlt, der Sender ist wütend” oder heute gerade wieder gesehen”die Energieversorger wollen nicht, dass dies bekannt wird” – dann muss *ich* gar nicht weiterlesen. Aber offenbar findet sowas genügend Menschen, die “Systemkritisch” sind und dann denken “ja klar wollen die nicht, dass das bekannt wird, muss also gut sein”.
Während in den Beispielen hier die URL sehr schnell als Scam identifiziert werden kann wird es bei Einsatz von Lookalike-Buchstaben, meist aus dem kyrillischen Alphabet, häufig schwierig. Es gibt da wohl Zeichen, die unserem “e” und “n” extrem ähnlich sehen, aber für das DNS ist es halt doch etwas ganz anderes. In vielen Fällen dürfte auch der Unterschied zwischen 0 und O (Null und Buchstabe O) kaum auffallen.
Du und ich und wohl die meisten DNIP-Leser würden das wohl erkennen. Wenn sie nicht gerade im Stress sind oder nach dem letzten Strohhalm greifen müssen. Aber es gibt eben auch die anderen. So kenne ich jemanden seit vielen Jahren, der über die letzten paar Jahre mehrfach bei Advance-Fee-Scams bis in die 70’000€-Kategorie “aufgestiegen” ist und alles verloren hat. Und das, obwohl ihm alle seine Freunde und Bekannten (inkl. ich) immer wieder gezeigt hatten, dass die angeblichen Dokumente plumpe Fälschungen seien.
Nicht nur deshalb: Jeder Franken an diese Betrüger ist ein Franken zuviel und unbedingt muss verhindert werden.
Das Netz ist nicht bloss politisch im engeren Sinn, es ist eben auch ein Abbild der Gesellschaft mit sämtlichen Winkeln, Höhen und Niederungen.
Darum gehören genau solche Geschichten sichtbar gemacht. Sie tragen dazu bei, dass nicht bloss « die geübte Leserin » den Schwindel erkennt. Danke fürs Dranbleiben!
Vielen Dank, lieber Ueli. Das Dranbleiben lohnt sich auf jeden Fall! Google hat schliesslich nun alle Konten gesperrt.
Google lügt offensichtlich, das Unternehmen HongKong Luckstar Technology Co., Ltd. ist nach wie vor präsent.
Ja, in der Tat. Ich hab es ihnen heute gemeldet und sie sind an der Prüfung. Keine Ahnung warum die AI Detecting Algorithmen nicht fähig sind, solche Kontennetzwerke zu erkennen.