Krypto-Trading klingt verlockend. Mit einem relativ kleinen Geldbetrag in Windeseile ein kleines Vermögen anzuhäufen, ist für einige Internetnutzer offenbar so verlockend, dass sie jegliche Skepsis und Vorsicht über Bord werfen. Die Folgen können verheerend ausfallen. APA-Faktencheck widmet dieser Millionen Euro schweren Betrugsmaschinerie eine GADMO Investigation.

Niederschwelliges Online-Krypto-Trading für alle. Hohe Renditen ab der ersten Minute. Eine überschaubare Mindestinvestition von nur 250 Euro. Eine todsichere Wertanlage. Ein vollautomatisiertes System. Bekannte Personen aus Politik, Journalismus und Unterhaltung als Fürsprecher. Nicht selten der Versuch, sie deshalb mundtot zu machen. Unter höchster Bedrängnis verfasste Nachrichtenartikel. Anfangs misstrauische Krypto-Experten und Journalisten, die das beworbene Produkt letztlich restlos überzeugt hat. Unzählige zufriedene Kunden. Und das alles nur einen Klick entfernt – einen Klick auf eine Facebook-Werbeanzeige. 

APA-Faktencheck hat über den Zeitraum eines Jahres Dutzende solcher Webseiten als Werbung bei Facebook ausgespielt bekommen. Das passierte ohne aktive Suche danach, schien sich aber mit dem Anklicken solcher Anzeigen zu intensivieren. Die Werbungen tauchten deshalb im Zuge des Social-Media-Monitorings immer öfter zwischen normalen Beiträgen auf. Sie alle hatten einige Parallelen, allem voran aber eine Gemeinsamkeit: Sie waren Teil einer gewaltigen Betrugsmaschinerie, die Kleinanleger auch hierzulande seit Jahren um ihr Erspartes bringt. 

Falsche News animieren zum Klicken 

Um Klicks zu generieren, bedienten sich die Täter sogenannter „Fabricated News“ – gefälschter Nachrichtenartikel, die die Optik bekannter österreichischer Medien kopieren, sowie KI-generierter Deepfakes von Prominenten, die angebliche Geheimtipps für Krypto- oder Aktieninvestments geben.

Beworben werden sie im Feed der Nutzer:innen zwischen klassischen Beiträgen als oft marktschreierische Pseudo-Nachrichten (screenshot nadja bernhard). Das funktioniert auch deshalb, weil Soziale Medien laut dem jüngsten Digital News Report Austria erstmals die zweitwichtigste Hauptnachrichtenquelle nach dem Fernsehen stellen. Ein Klick auf ein reißerisches Bild, ein Video oder eine Headline führt die User:innen weg von den Plattformen auf eine Webseite. 

Solche Seiten sind ebenso gefälscht wie die vermeintlichen Nachrichtenartikel, die auf ihnen zu finden sind. Abgesehen von den fragwürdigen Inhalten sind sie meist auch durch ihre Aufmachung leicht zu überführen. APA-Faktencheck widmete sich der Thematik in den vergangenen Jahren immer wieder. Tipps zum Erkennen solcher Fake-Webseiten – allen voran das Fehlen einer für Medienwebseiten verpflichtenden Offenlegung und eines Impressums – sind etwa in diesem Faktencheck nachzulesen. 

Kickl, Babler, Wolf und Grissemann 

Die Protagonisten der gefälschten Interviews waren häufig dieselben: FPÖ-Chef Herbert Kickl führte die Zählung im Beobachtungszeitraum von Anfang 2025 bis Ende Jänner 2026 mit 19 Nennungen klar an. Meist ist Kickl darin Gast von ORF-Nachrichtenjournalist Armin Wolf, der selbst zwölf Mal Teil der Scamversuche war. Es folgten weitere Figuren aus der Politik wie die früheren Kanzler Sebastian Kurz (9 Nennungen) und Karl Nehammer (4 Nennungen), sowie SPÖ-Chef Andreas Babler (ebenfalls 4) und Bundespräsident Alexander van der Bellen (3). 

Häufig Erwähnung fand auch Moderator Christoph Grissemann, der immer wieder in manipulierten Screenshots aus seiner Late-Night-Show “Willkommen Österreich” zu sehen war. Seine Gäste waren im Gegensatz zu Wolfs Interviewpartnern breiter gestreut und kamen meistens aus der Unterhaltungsbranche. Gegen Ende des Beobachtungszeitraumes verlagerten sich die Inhalte auf politische Interviews. 

Die für die gefälschten Webseiten herangezogenen Nachrichtenportale waren über den Beobachtungszeitraum hinweg deutlich weniger gestreut als die Protagonist:innen. Von 33 analysierten Fällen entfielen 14 auf das Portal “oe24”, elf auf das der “Kronen Zeitung” und sieben auf die Nachrichten-Webseite des ORF. In einem Fall war Herbert Kickl angeblich Teil einer deutschen Talkrunde, über die tagesschau.de berichtet haben soll. 

Registrierung, falsche Nähe, Bedrängung, Geldverlust 

Der Betrug folgte immer demselben Schema: Wurde der Nutzer oder die Nutzerin über diese gefälschten Artikel auf die Cyber Trading Fraud-Plattform (CTF) geleitet und hinterließ dort eine Telefonnummer, griff eine hochprofessionelle, psychologische Masche. Callcenter-Mitarbeiter bauten per Telefon eine intensive vermeintliche Nähe auf, betonten die vermeintlich geringe Einstiegssumme von 250 Euro. 

Über gefälschte, aber professionell aussehende Dashboards wurde den Opfern ein sofortiger, rasanter Vermögenszuwachs simuliert. Vermeintliche „Broker“ setzten die Opfer über Telefon oder Messenger-Dienste psychologisch unter Druck, um weitaus höhere Summen in wertlose oder nichtexistierende Krypto-Assets umzuwandeln. Ein Totalverlust war meist das Ende – zumindest vorerst. 

Hatten die Opfer ihr Geld verloren, kontaktierten dieselben Täter sie unter dem Deckmantel von „Rechtsanwälten“ oder „Behörden“ erneut, um ihnen die Rückholung der Summe vorzugaukeln. Oft nutzten die Scammer Fernwartungssoftware, um die komplette Kontrolle über die Computer der Opfer zu übernehmen. Das überwiesene Geld floss schließlich in ein globales Geldwäschenetzwerk. 

Besonders perfide ist das Zusammenspiel aus drei Komponenten: Deepfake-Videos nutzen das Vertrauen in prominente Gesichter. Gefälschte Webseiten spiegeln eine seriöse Handelsumgebung vor, auf der vermeintliche Renditen in Echtzeit ansteigen, während das Geld längst auf ausländischen Konten oder in digitalen Wallets verschwunden ist. KI-Chatbots wiederum simulieren in geschlossenen WhatsApp-Gruppen eine lebhafte Gemeinschaft von „Erfolgsanlegern“, um soziale Bewährtheit vorzutäuschen und rege Handelsaktivität vorzugaukeln.

FMA sieht 2025 als Wendepunkt 

Die “Erfolgszahlen” des so genannten Cyber Trading Fraud sprechen für sich. Sie erreichten 2025 wie schon in den Jahren davor neue Rekordwerte, wie die Finanzmarktaufsicht (FMA) in ihrem Jahresrückblick informierte. Das Bundeskriminalamt meldete in seinem Kriminalitätsbericht 2025 zwar einen Rückgang bei Anzeigen zu allen Formen des Internetbetrugs, zugleich sank aber auch die Aufklärungsquote. Die Dunkelziffer der aus Angst oder Scham nicht gemeldeten oder zur Anzeige gebrachten Fälle ist unklar. 

Tragische Beispiele gibt es viele, quer durch alle Bevölkerungsschichten und mit verschiedenen Betrugsmaschen. Die wenigsten Geschädigten gehen mit ihrer Geschichte an die Öffentlichkeit, wie es etwa Ex-Tennisprofi Stefan Koubek tat. 

Die FMA markiert das Jahr 2025 als Wendepunkt. Die Täter agieren nicht mehr mit plumpen E-Mails, sondern setzen auf ein Baukastensystem der Täuschung. Laut FMA wurden allein in jenem Betrugsjahr 843 Fälle gemeldet, mit einer Schadenssumme von rund 19,6 Millionen Euro. Ein Rekordwert, der den steigenden Druck auf die heimischen Haushalte widerspiegelt. Der höchste dokumentierte Einzelschaden lag bei 830.000 Euro. 

Großer Schlag gegen albanische Betreiber 

Wie professionell und geschäftsmäßig diese Strukturen aufgebaut sind, offenbarte ein spektakulärer Schlag der österreichischen Justiz. Ende April 2026 gaben die Wirtschafts- und Korruptionsstaatsanwaltschaft (WKStA) und das Bundeskriminalamt (BK) das Ergebnis einer über zweijährigen, internationalen Ermittlung bekannt. In Kooperation mit albanischen Behörden sowie Eurojust und Europol gelang es, ein riesiges kriminelles Netzwerk zu zerschlagen, das von der albanischen Hauptstadt Tirana aus operierte. 

Der koordinierte Zugriff am 17. April 2026 glich einem filmreifen Behördenschlag: Drei hochprofessionelle Callcenter wurden gestürmt und neun Privatwohnungen durchsucht. Die Bilanz: Zehn Festnahmen, die Sicherstellung von 443 Standcomputern, mehreren Laptops, 238 Mobiltelefonen sowie 891.735 Euro in bar. Dieses Netzwerk verursachte europaweit einen Schaden von mindestens 50 Millionen Euro. 

Die Täter bauten Callcenter auf, die wie legitime Unternehmen funktionierten – inklusive eigener Abteilungen für IT, HR, Finanzen sowie spezialisierter Teams wie „Conversion Agents“ (für die Erstakquise) und „Retention Agents“ (für die langfristige Betreuung). Bis zu 450 Mitarbeiter arbeiteten dort in Teams, aufgeteilt nach Sprachkenntnissen (darunter Deutsch, Englisch, Italienisch und Spanisch). Sie erhielten ein Fixgehalt von rund 800 Euro sowie Erfolgsprovisionen.

„Hier ist es uns gelungen, eine hochprofessionell organisierte Täterstruktur auszuheben, die nicht nur Österreicher um ihr Geld betrogen hat, sondern auch noch das Vertrauen der Bürger in das höchste Amt des Staates für ihre niedrigen Motive missbraucht hat“, erklärte Wolfgang Handler, der stellvertretende Leiter der WKStA. 

Firmenähnliche Strukturen in Europa, Zwangsarbeitercamps in Myanmar 

Die Ermittlungen der WKStA zeigen die europäische Achse des Betrugs. Doch das Phänomen reicht noch tiefer in den globalen Untergrund. Recherchen des Nachrichtenmagazins “Der Spiegel” und Berichte von Organisationen wie der “Global Anti-Scam Alliance” zeigen, dass im Jahr 2024 weltweit über eine Billion Dollar durch Online-Scams erbeutet wurden. Viele Fäden dieser Industrie führen in Grenzregionen in Südostasien, vor allem nach Myanmar, Kambodscha und Laos. 

Südostasien gilt für den UNO-Drogen- und Kriminalitätsexperten Benedikt Hofmann als „Ground Zero“ dieser Milliardenindustrie. Thailand versucht mittlerweile rigoros, durch das Kappen von Strom, Treibstoff und Satelliten-Internet im Grenzgebiet gegenzusteuern. 

Während in Albanien Angestellte gegen Provisionen telefonierten, arbeiten in den südostasiatischen „Scam-Fabriken“ Hunderttausende Menschen unter sklavenähnlichen Bedingungen. Laut den Vereinten Nationen wurden allein in Myanmar über 120.000 und in Kambodscha rund 100.000 Menschen von kriminellen Syndikaten dorthin verschleppt, um unter Folter und extremem Zwang Menschen am anderen Ende der Welt in die Irre zu führen.

CTF als finanzieller Kern des Werbe-Betrugsökosystems 

Das Österreichischen Institut für angewandte Telekommunikation (ÖIAT) präsentierte Anfang Juni 2026 eine groß angelegte Studie zum massiven Werbe-Betrugsnetzwerk auf Meta-Plattformen mit über 600.000 identifizierten Scam-Anzeigen und über 100 Millionen Seitenaufrufen in Österreich. Ein Teil dieser Studie widmete sich dem Schwerpunkt Cyber Trading Fraud (CTF) und dessen Einbettung in das breitere Betrugsökosystem. 

Die Studie verdeutlicht, dass CTF nicht nur eine von vielen Maschen ist, sondern den absolut lukrativsten und reichweitenstärksten Motor der betrügerischen Online-Werbung darstellt. Das in Österreich jährlich über 110 bis 120 Millionen Euro umfassende Schadenspotenzial von CTF finanziert die enorme Reichweite dieser Werbekampagnen. 

Die massenhaft geschalteten Scam-Ads fungieren fast ausschließlich als Einstiegstrichter (sogenannte Funnel) für CTF, das in diesem Ökosystem nicht isoliert betrachtet werden darf. Die Studie und begleitende kriminalistische Auswertungen zeigen, dass das Werbe-Betrugsökosystem stark vernetzt ist. Die Infrastruktur und die durch CTF gewonnenen Opferdaten fließen nahtlos in andere Deliktformen über. 

Eingebettet in gut geölte Scam-Maschine 

Die direkteste und perfideste Verknüpfung erfolgt zum sogenannten Recovery Scam: Sobald ein CTF-Opfer realisiert, dass das Geld weg ist, wird es von vermeintlichen Ermittlungsbehörden, der FMA oder Fake-Anwaltskanzleien kontaktiert. Diese versprechen, das verlorene Geld gegen eine “Vorabgebühr” zurückzuholen. Faktisch stecken dahinter dieselben Täter-Netzwerke, die die Opfer-Daten aus dem vorangegangenen CTF schlicht intern recyceln. 

Bisher sehr erfolgreiche Methoden sind auch Remote-Access-Betrug (RAT) und Phishing: Um beim „Traden“ zu helfen, drängen die Täter die Opfer (wie auch im sogenannten Tech-Support-Scam) oft zur Installation von Fernwartungssoftware. Haben die Täter erst einmal Zugriff auf den Rechner, werden sensible Daten für klassischen Identitätsdiebstahl und Phishing abgezogen oder Bankkonten direkt leergeräumt. 

Ohne es zu wollen, können Opfer von Cyber Trading Fraud auch zur Geldwäsche missbraucht werden. Hier schließt sich der Kreis zu anderen Betrugsformen. Opfer von Love-Scams oder Job-Scams werden von den Netzwerken häufig ahnungslos als sogenannte „Finanzagenten“ (Money Mules) rekrutiert. Sie stellen ihre Konten zur Verfügung, um die CTF-Gewinne in Kryptowährungen umzuwandeln und an die Hintermänner weiterzuleiten. 

Das „Ökosystem“, das die ÖIAT-Studie beschreibt, ist im Kern agnostisch gegenüber der eigentlichen Masche. Die kompromittierten oder mit gestohlenen Identitäten angelegten Facebook-Accounts, die genutzt werden, um die Werberichtlinien zu umgehen und CTF-Ads zu schalten, werden im Darknet als „as a Service“-Modelle gehandelt. Ein Account, der heute CTF-Anzeigen verbreitet, kann morgen problemlos für Fake-Shops oder zur Werbung für Abo-Fallen genutzt werden. 

Die Studie zeigt klar, dass Cyber-Trading-Fraud nicht nur das profitabelste Ziel dieser 600.000 Scam-Anzeigen ist, sondern dass der CTF als Einspeisepunkt für einen regelrechten „Betrugs-Lebenszyklus“ dient. Wer in den CTF-Trichter gerät, verliert nicht nur sein Geld, sondern wird durch Datendiebstahl, Fernzugriffe und nachgelagerte Recovery-Scams dauerhaft zum potenziellen Ziel für fast alle anderen Facetten der Cyberkriminalität. 

Meta im Fokus 

Was die ÖIAT-Studie auch aufzeigt: Das automatisierte Werbesystem von Meta wird gezielt missbraucht. Der Algorithmus der Plattform optimiert die Ausspielung auf Nutzer:innen, die ohnehin eine Affinität zu Finanzthemen oder schnelle Reaktionen auf emotionalisierende Inhalte zeigen. Dadurch sucht die Werbe-Infrastruktur aktiv und automatisiert nach den perfekten Opfern für den nachgelagerten CTF. 

Meta verweist zwar gerne auf seine Werbebibliothek, doch auch dieses Transparenztool hat seine Schwächen. So kann dort etwa das Feld für die für die Werbung zahlenden Personen beliebig befüllt werden und wurde das laut ÖIAT-Analyse auch – etwa mit Zahlenreihen, erfundenen Namen, Fake-Unternehmen oder missbräuchlich verwendeten Markennamen. Das verstößt gegen Artikel 39 des DSA, demzufolge die Werbebibliothek „die natürliche oder juristische Person, die für die Werbung bezahlt hat“ ausweisen müsse. 

Dem Facebook-Mutterkonzern sind die Methoden, mit denen seine Kontrollmechanismen ausgehebelt werden sollen, bekannt. Besonders problematisch ist hierbei das Cloaking, bei dem dem System eine andere Werbeanzeige vorgegaukelt wird als die User:innen ausgespielt bekommen. 

Werbeanzeigen sind zudem im von APA-Faktencheck beobachteten Zeitraum oft nur kurz online und danach nicht mehr auffindbar oder entziehen sich der Auffindbarkeit durch die Textsuche. Immer häufiger beobachtete das ÖIAT auch, dass mehrere Versionen einer Anzeige geschaltet wurden, aber nur eine davon in der Ad Library sichtbar war. Die betrügerischen Versionen blieben so leichter im Verborgenen.

Cyberdefense-Tool analysiert auch “tote” Webseiten 

So flüchtig die Werbeanzeigen sind, sind üblicherweise auch die darin verlinkten Webseiten. Oftmals waren diese schon wenige Tage, teils sogar schon Stunden, nachdem sie APA-Faktencheck ausgespielt wurden, wieder offline. Dennoch hinterließen sie Spuren, die mithilfe der Cyberdefense-Webseite “Silent Push” zum Teil sichtbar gemacht werden können – oft auch noch viele Monate später. 

In einer Analyse einiger dieser längst wieder stillgelegten Webseiten, fand APA-Faktencheck zahlreiche Parallelen. Indizien, aber keine Beweise für die Zusammengehörigkeit verschiedener Webseiten sind etwa sogenannte “Favicons”. Damit bezeichnet man kleine quadratische Bilder, die in Webbrowsern einen Hinweis auf die geöffneten Webseiten geben sollen. Bei Nachrichtenportalen ist es meist der Anfangsbuchstabe des Namens oder eine verkleinerte Ansicht des gesamten Logos. 

Webseiten, die oft nur wenige Stunden oder Tage online sind und über dieselben Registrare eingerichtet werden, verwenden nicht selten der Einfachheit halber auch dieselben Favicons. So wurde bei der stillgelegten Domain “carzpy.com” ein blaues S als Favicon verwendet. Mittels “Silent Push” lässt sich dieses Favicon für über 45 Millionen einzelner Webseiten finden. 

Technische Details offenbaren Zusammenhänge 

Eine andere Domain mit dem absurd anmutenden Namen “breakingaliennews.com”, auf der eines der Fake-Kryptoportale geparkt war, liefert zwar deutlich weniger über ihr Favicon verbundene Webseiten, dafür aber aufschlussreiche Ergebnisse. Eine der verbundenen Webseiten bewirbt laut HTML Title Tag offenbar ein Produkt namens “Token Tact”. Dieses vermeintliche Tool ist APA-Faktencheck aus einem anderen Fake-Artikel bekannt. 

Ebenfalls im HTML-Titel anderer über das Favicon verbundener Webseiten findet sich ein angeblicher “Euro News”-Artikel, der in italienischer Sprache 5.000 Euro Ertrag pro Woche für den typischen Einzahlungsbetrag von 250 Euro verspricht. Drei verwandte Webseiten verweisen so auf Whatsapp-Bots. 

Die Domain “vallonesworld.com” wurde von APA-Faktencheck Ende Oktober 2025 als Platzhalter für einen Krypto-Scamversuch ausgemacht. Sie liefert in einer Websuche bei Silentpush lediglich ein Ergebnis. Mittels der Suchfunktion “html_body_ssdeep”, die auch zur Überführung von Malware eingesetzt werden kann, findet Silentpush eine Verbindung zu mehr als eineinhalb Millionen weiterer Webseiten – eine davon ist fortressammo.com, über die wenige Tage zuvor ähnlicher Fake-Content ausgespielt wurde. 

Das alles sind keine konkreten Hinweise auf die Betreiber der einzelnen Webseiten. Allerdings legen die Suchergebnisse den Verdacht nahe, dass für diese Art des Betrugs im großen Stil Domains registriert werden, denen man auf technischer Ebene auch Monate, nachdem sie wieder offline gingen, gewisse Verbindungen zueinander nachweisen kann. 

Scam-Werbungen bringen Plattformen Milliarden 

Sie sind plump produziert, kurzlebig, stehen oft miteinander in Verbindung und führen Internetnutzer bewusst in die Irre. Doch nach wie vor werden Scam-Werbungen auf Plattformen wie jenen von Meta ausgespielt. Das hat neben technischen Unzulänglichkeiten auch einen anderen, banalen Grund: Die Plattformen verdienen an Werbeanzeigen für betrügerische oder nicht vorhandene Produkte sehr viel Geld. 16 Milliarden US-Dollar waren das laut Reuters, das sich auf interne Dokumente beruft, bei Meta allein im Jahr 2024. Das entspricht rund einem Zehntel der gesamten Konzern-Einnahmen. 

Bei problematischen Werbeinhalten werde bisweilen besondere Nachsicht an den Tag gelegt, recherchierte das “Wall Street Journal” vergangenes Jahr. Demnach wurden die Mitarbeiter von Facebook und Instagram angewiesen, bis zu 32 Verwarnungen auszusprechen, bevor sie Maßnahmen gegen betrügerische Anzeigen ergreifen sollten. 

Asress Gikay und Andrew Kent von der britischen Brunel University kritisieren nicht nur Versäumnisse der Plattform selbst. Auch der europäische EU AI Act sei zu schwach aufgestellt, um die Lücke bei Finanzbetrug effektiv zu schließen. Solange Tech-Unternehmen Werbeeinnahmen über die öffentliche Sicherheit stellen würden, könne nur eine strafrechtliche Verfolgung dazu führen, sie zu verantwortungsvollem Handeln zu zwingen, so Gikay und Kent. 

Aufklärung, Appelle und Aussichten 

Bis es so weit ist, bleibt Internetnutzer:innen nur der Rat zur Vorsicht. Die österreichischen Behörden setzen deshalb seit Jahren auf Aufklärung und Prävention. „Hinter jeder Anzeige steht ein Mensch, der oft sein Erspartes, sein Vertrauen und manchmal ein Stück Lebenssicherheit verloren hat“, betont Reinhard Nosofsky, Leiter des Büros für Betrugsermittlungen im Bundeskriminalamt. Er appelliert an die Bevölkerung, jeden Verdacht sofort anzuzeigen. 

Das Bundesministerium für Inneres (BMI) hat den Kampf gegen den Cyber-Anlagenbetrug ganz oben auf seine Agenda gesetzt und damit jüngst einen Achtungserfolg gefeiert. Nicht zuletzt mit dem Schlag gegen die albanischen Callcenter verringerte sich die Zahl an CTF-Anzeigen dieser Art merklich. Doch die Betrüger haben sich nicht zurückgezogen, sie formieren sich nur neu. 

Anzeigen mit Prominenten aus Unterhaltung und Politik wichen zuletzt gezielterer Werbung mit Wirtschaftsexpert:innen. Statt auf Webseiten, die sich mit vertrauen Logos von Medienunternehmen schmücken, führen sie jetzt direkt in Kanäle von Messengerprogrammen wie WhatsApp, erklärt ÖIAT-Studienleiterin Valentine Auer. Aufgrund der Verschlüsselung von Chatdaten lassen sich die Spuren dort noch schwerer verfolgen. 

Nicht verändert haben sich allerdings die roten Linien, zu denen laut BMI und FMA unrealistische Gewinnversprechen, plötzlicher Zeitdruck, die Aufforderung zu Auslandsüberweisungen oder ungefragte Einladungen in WhatsApp-Trading-Gruppen zählen. Skepsis solchen Versprechen gegenüber sei deshalb der beste Selbstschutz.

Autor: Stefan Rathmanner

Redigat: Christina Schwaha, Florian Schmidt

Dieser Text ist auch auf der Faktencheck-Plattform der APA – Austria Presse Agentur abrufbar