Fake-Banken für 99 Dollar: Ein Blick hinter die Kulissen der Scam-Industrie

Woher kommen eigentlich die ganzen Fake-Bank-Webseiten? Spoiler: Es gibt einen florierenden Markt dafür, und er ist erschreckend günstig. Eigentlich erstaunlich, dass nicht jeder von uns schon drei Banken betreibt.

Bei unserer Recherche zur „Turk City Bank´" haben wir uns gefragt: Wer baut eigentlich solche Fake-Banken? Sitzt da ein genialer Hacker im Keller und programmiert wochenlang? Hahaha, nein. Die Wahrheit ist viel banaler und gleichzeitig deprimierender. Willkommen in der Welt der Scam-Scripte! 🎭

Was eine echte Bank braucht, und was Scammer brauchen

Um das Ganze einzuordnen, hilft ein kurzer Reality-Check. Eine echte Bank in Deutschland benötigt eine BaFin-Lizenz mit einem Mindestkapital von fünf Millionen Euro. Dazu kommen Core-Banking-Systeme, die gerne mal eine halbe Million Euro oder mehr kosten, ISO-Zertifizierungen, hunderte Entwickler und regelmäßige Prüfungen durch Wirtschaftsprüfer. Ein Prozess, der Jahre dauert und graue Haare verursacht.

Was brauchen Scammer? Eine Domain für zehn Euro, ein Script für unter hundert Dollar, ein kostenloses SSL-Zertifikat und ein YouTube-Tutorial. Fertig ist die Fake-Bank. Zeit bis zur Inbetriebnahme: Ein verregneter Sonntagnachmittag. ☕

Die Turkcib-Seite basiert übrigens auf einem kostenlosen Bootstrap-Template, das buchstäblich jeder Teenager für sein Schulprojekt runterladen könnte. Das Backend dahinter stammt aus einer Quelle, die noch viel interessanter ist.

Der Supermarkt für Betrüger

Man sollte meinen, dass Software für Bankbetrug irgendwo im Darknet gehandelt wird, zwischen Waffen und gestohlenen Kreditkarten. Falsch gedacht! Auf ganz normalen Marktplätzen für Web-Scripts findet man dutzende sogenannte „Banking Scripts" oder „Investment Platform Scripts". Öffentlich. Mit Bewertungen. Und Kundensupport.

Die kosten zwischen 29 und 99 Dollar, also weniger als ein romantisches Abendessen, und versprechen ein komplettes Online-Banking-System aus der Box. Die Verkaufszahlen sind dabei so erschreckend wie unterhaltsam: Manche dieser Scripts wurden über tausend Mal verkauft. Das sind tausend potenzielle Fake-Banken, die irgendwo da draußen im Internet auf Opfer warten. Guten Appetit.

Die beworbenen Features lesen sich wie eine Wunschliste für Betrüger: Flexible Investmentpläne (für flexiblen Betrug), mehrstufige Empfehlungssysteme (Pyramidensystem mit schickem Namen), automatische Ein- und Auszahlungen (wobei die Auszahlungen natürlich nie funktionieren), und eine komplette Nutzerverwaltung. Alles fix und fertig, nur noch installieren. Selbst ein technisch unbegabter Goldfisch könnte damit eine Bank eröffnen.

Die entscheidende Frage ist: Welche legitime Bank würde ein Script für 99 Dollar verwenden? Die Deutsche Bank? Die Sparkasse? Vielleicht N26 in der Anfangsphase? Natürlich nicht. Diese Scripts existieren einzig und allein für Betrüger, aber das steht halt nicht in der Produktbeschreibung.

Die Veteranen der Ponzi-Branche

Neben den Banking-Scripts gibt es noch eine andere Kategorie, die einen gewissen traurigen Respekt verdient: Sogenannte „HYIP Scripts". HYIP steht für „High Yield Investment Program" und ist laut Wikipedia, ohne Umschweife, ein Synonym für Ponzi-Schema. Ja, es gibt tatsächlich eine ganze Industrie, die sich darauf spezialisiert hat, Schneeballsysteme schlüsselfertig zu verkaufen. Kapitalismus in seiner reinsten Form.

Eine Studie der University of Cambridge hat diese Branche untersucht und festgestellt, dass manche dieser Systeme in nur 15 Minuten einsatzbereit sind. 15 Minuten! Das ist schneller als eine Pizza zu bestellen, schneller als ein IKEA-Regal aufzubauen, und definitiv schneller als die Wartezeit bei der Hotline eurer echten Bank.

Das Perfide dabei: Die gleichen Anbieter verkaufen oft auch Software für sogenannte „Monitoring-Seiten", die diese Betrugsprogramme listen und bewerten sollen. Sie verdienen also doppelt, am Betrug selbst und an der vermeintlichen Bewertung des Betrugs. Das ist so, als würde ein Einbrecher gleichzeitig auch Alarmanlagen verkaufen. Irgendwie genial, wenn es nicht so abstoßend wäre.

Kostenlos dank Schwarzkopien

Wem selbst 99 Dollar noch zu viel sind, vielleicht weil das Scam-Budget diesen Monat schon aufgebraucht ist, der wird in der sogenannten „Nulled"-Szene fündig. Auf diversen Warez-Seiten gibt es die gleichen Scripts kostenlos. Gecrackt, mit entferntem Lizenzschutz, und mit der moralischen Integrität eines feuchten Papiertaschentuchs.

Ein Kommentar in einem solchen Forum bringt es unfreiwillig komödiantisch auf den Punkt. Ein Nutzer schrieb, er habe das Script installiert und Google habe es sofort als Phishing-Webseite markiert. Überraschung! 🎉 Wer hätte gedacht, dass ein Betrugs-Script für Betrug verwendet wird?

Die Schwarzkopien haben allerdings manchmal eingebaute Stolperfallen: Die Original-Entwickler bauen Backdoors ein, die automatische Zahlungen nach einigen Tagen stoppen. Betrüger, die Betrüger betrügen, die Betrüger betrügen wollen. Es ist wie eine russische Matroschka der Kriminalität.

Pig Butchering as a Service

Falls ihr dachtet, schlimmer geht’s nicht, schnallt euch an. In den letzten Jahren hat sich das Ganze zu einer regelrechten Industrie entwickelt. Forscher sprechen mittlerweile von „Pig Butchering as a Service". Ja, wirklich. Das ist kein Witz. Es gibt Dienstleister, die Betrug als Service anbieten, mit Abo-Modell und vermutlich auch Mengenrabatt.

Diese professionellen Anbieter liefern komplette Scam-Plattformen, inklusive Admin-Panels mit Agent-Management, E-Mail-Templates für die Opfer-Kommunikation, Profitabilitäts-Metriken und Chat-Protokolle. Das ist Betrug auf Enterprise-Niveau. Fehlt eigentlich nur noch ein Scrum-Master und ein tägliches Stand-up-Meeting.

Andere Anbieter verkaufen das Zubehör: Gestohlene Social-Media-Accounts, SIM-Karten im Großpack und sogenannte „Character Sets", das sind Sammlungen gestohlener Fotos von echten Menschen, die dann für gefälschte Profile verwendet werden. Irgendwo da draußen wird gerade euer Urlaubsfoto verwendet, um jemandem eine Million Dollar aus der Tasche zu ziehen.

Ein Komplettpaket mit Website, Server, Mobile Apps und sogar Firmengründung in einer Steueroase kostet etwa 2.500 Dollar. Der potenzielle Return on Investment laut Forschern? Bis zu 70.000 Prozent. Da versteht man, warum die Branche boomt, und warum eure Oma ständig Anrufe von Microsoft bekommt.

Woran erkennt man Fake-Banken?

Nach unserer Analyse hier die wichtigsten Warnsignale, für alle, die nicht auf den nächsten „Investment-Opportunity" reinfallen wollen.

Im Quellcode verstecken sich oft verräterische Hinweise, aber seien wir ehrlich: Die wenigsten Opfer schauen sich den Quellcode an. Trotzdem gut zu wissen: Eine Anweisung an Suchmaschinen, die Seite nicht zu indexieren, ist ein klassisches Zeichen. Echte Banken verstecken sich nicht vor Google. Tracking-Pixel von dubiosen Diensten und verdächtige Dateinamen wie „btc-transfer.php" oder „quick_loan.php" sind ebenfalls rote Flaggen.

Im Design gibt es auch Red Flags: Eingebettete Börsen-Widgets sollen Seriosität vorgaukeln, dabei kann die jeder in fünf Minuten in seine Webseite einbauen. Mysteriöse Unterscheidungen zwischen „Booking Balance" und „Available Balance" zeigen Geld, das man sehen aber nicht anfassen kann, wie ein Kuchen hinter Glas. Übersetzungs-Widgets für 47 Sprachen deuten auf internationale Betrüger hin. Und natürlich: Kein Impressum, keine echte Adresse, keine BaFin-Nummer.

Das Verhalten der „Bank" ist der deutlichste Hinweis: Konten werden ohne echte Verifizierung eröffnet (bei einer echten Bank dauert das gefühlt 800 Jahre), Guthaben erscheint wie von Zauberhand ohne echte Einzahlung, und jede Auszahlung erfordert neue „Gebühren", „Steuern" oder „Sicherheitsleistungen". Spätestens bei der dritten Gebühr sollte auch der optimistischste Anleger stutzig werden.

Fazit: Industrialisierter Betrug im Amazon-Stil

Was wir hier sehen, ist keine Einzeltat eines cleveren Betrügers mit zu viel Freizeit. Es ist eine professionelle Industrie mit Software-Entwicklern, Template-Designern, Warez-Distributoren, Service-Providern und Zahlungsabwicklern. Ein komplettes Ökosystem, das davon lebt, anderen Menschen das Geld aus der Tasche zu ziehen.

Die Einstiegshürde ist praktisch null, jeder mit 99 Dollar und fragwürdiger Moral kann mitmachen. Die Gewinne sind astronomisch. Und die Opfer sind echte Menschen, die echtes Geld verlieren, manchmal ihre gesamten Ersparnisse.

Also: Wenn eine „Bank" im Internet auftaucht, die ihr noch nie gehört habt, die euch Millionen verspricht und die nach einer schnellen Google-Suche nicht bei der BaFin oder einer anderen Finanzaufsicht auftaucht, Finger weg! Kein seriöses Finanzinstitut arbeitet mit 99-Dollar-Scripts aus dem Internet. Und kein nigerianischer Prinz will euch wirklich Geld schenken. Sorry.

Und wenn ihr mal sehen wollt, wie so ein Scam von innen aussieht: Unsere Turk City Bank-Recherche gibt’s hier zum Nachlesen.

Habt ihr selbst verdächtige „Banken" entdeckt? Schreibt uns, wir sammeln die Perlen des Internet-Betrugs! 🎣