Was Myers vor der Löschung des Accounts an Aktivitäten dort noch nachvollziehen konnte, dürfte eine Horrorvorstellung für viele Nutzer sein. Ohne sein Zutun war kurz vor der ersten Anzeige ein Zugriff auf seinen Account über eine solche App erfolgt. In dem Account wurde für Anzeigen ein weiterer Account mit dem Namen „Amy Barry“ als Administrator hinzugefügt, dabei handelte es sich um ein Tage zuvor angelegtes Profil mit KI-generiertem Foto einer Frau. All das sah Myers erst im Nachhinein, ohne eine Nachricht erhalten zu haben.
Auch Kreditkarteninformationen einer Visa-Karte wurden hinzugefügt, um die Anzeigen zu zahlen. Die Daten könnten ein fieser Scherz der Hinterleute sein: Gegenüber der Sportstätte „Crypto.com Arena“ in Los Angeles soll die Karteninhaberin in einem Hochhaus leben. An der Adresse finden sich keine Hinweise zu ihr. Bis zu 900 Dollar Werbebudget von der Kreditkarte waren vorgesehen. Letztlich wurden es knapp 300 Dollar, ehe die Werbung in diesem Account eingestellt wurde.
Von Amy Barry finden sich in der Werbedatenbank bei X keine Spuren, was auch einen Verstoß darstellen dürfte: X verschleiert, dass die werbende Person (Myers Firma) nicht die zahlende Person ist.

Tim Myers war von X nie darüber informiert worden, dass in seinem Account eine weitere Person mit weitgehenden Rechten agieren könnte. Dabei heißt es von X in den Informationen zur Werbung: „Die Kontosicherheit ist für Werbetreibende von entscheidender Bedeutung.“
Auch bedenklich: Wäre Myers Account nicht so oft gemeldet und gelöscht worden, könnte er ihn heute mit blauem Häkchen für seine Firma nutzen. Das erhalten Accounts automatisch, wenn Nutzer einmal Werbung geschaltet haben. Das einstige Gütesiegel für verifizierte Accounts tragen jetzt massenhaft Accounts, die Betrüger für Werbung missbraucht haben.
Der Kampf der Plattformen: Von den Anzeigen sind alle großen Plattformen betroffen. Zudem buchen die Betrüger über Dienstleister sogar Plätze auf den Webseiten renommierter Medien.
Gegen die irreführende Promi-Werbung gehen alle Seiten vor – aber unterschiedlich konsequent. Medienunternehmen reagieren in der Regel sehr schnell, wenn es sich bei den zugelieferten Anzeigen externer Dienstleister offensichtlich um untergejubelte Betrugswerbung handelt. Die Dienstleister, über die die Werbung bei ihnen gelandet ist, erhalten zusätzlich Nachricht, um ihrerseits solche Kunden zu sperren.
Meta hat im März 2025 angekündigt, bei Prominenten, die das wünschen, automatisierte Gesichtserkennung einzusetzen, um Fake-Werbung schneller zu erkennen. Im vergangenen Jahr hatte die EU-Kommission ein Verfahren gegen Meta wegen mutmaßlicher Verstöße im Zusammenhang mit irreführender Werbung eingeleitet. Eine Sprecherin zu t-online: „Das Verfahren ist noch nicht abgeschlossen, daher können wir dazu keine Stellung nehmen.“
X erhielt im Juli 2024 Nachricht aus Brüssel: Sein Werbearchiv halte nicht die erforderliche Transparenz ein. „Ungeeignet“ sei das Instrument. Anwalt Henning Fangmann von der auf Internetrecht spezialisierten Kanzlei Spirit Legal: „Nutzern von X ist es gerade nicht möglich, in klarer, präziser und eindeutiger Weise zu erkennen, wer die Werbung geschaltet oder bezahlt hat. Das stellt einen Verstoß gegen die Vorgaben im Digital Service Act dar.“
Der Kampf der Aufsichtsbehörden: Die Kommission könnte wegen solcher Verstöße eine Geldbuße von bis zu 6 Prozent des weltweit erzielten Gesamtjahresumsatzes verhängen, so Jurist Fangmann. Hilfreich könnte für die Aufseher eine umfangreiche Dokumentation mit Werbe-Postings sein, die der deutsche X-Nutzer @bastelbro1 bereits im Frühjahr 2024 der Bundesnetzagentur zugeleitet hat. Sie ist die national verantwortliche DSA-Stelle. Die Belege sind offenbar erst mit einem Jahr Verzögerung und auf Nachfragen bei der EU-Kommission angekommen.
X droht wegen seines zögerlichen Vorgehens aber noch von anderer Seite Ärger: Im Dezember 2023 bekam das Netzwerk einen blauen Brief von der spanischen Finanzaufsicht CNMV: Sie werde „alle entsprechenden Aufsichts- und Sanktionsbefugnisse ausüben“. CNMV kann Webseiten, Medien und soziale Netzwerke in Haftung nehmen, wenn dort Krypto-Schwindel verbreitet wird, ohne überprüft zu haben, ob die Werbung zu nicht zugelassenen und betrügerischen Wertpapierdienstleistungen führt. „Im Dezember 2024 eröffnete die CNMV gegen X ein Verfahren wegen des Vorwurfs eines „sehr schweren und fortgesetzten Verstoßes gegen die Vorschriften zu Wertpapierdienstleistungen durch Pflichtverletzung“. International verfolgen die Finanzaufsichtsbehörden das Verfahren in Spanien gespannt. X wollte es auf Anfrage nicht kommentieren.
Italiens Börsenaufsicht geht einen anderen Weg, den auch die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) versucht. Seit 2019 hat die italienische Behörde Consob die Befugnis, den dortigen Telekommunikationsunternehmen Sperren von Betrugsseiten anzuweisen. Das Ergebnis: Die Aufseher geben WWW-Adressen an die Telekommunikationsunternehmen weiter, die dann diese URLs für ihre Internetkunden unerreichbar machen. 1.366 Betrugsseiten wurden so seither ausgeblendet. Ermittler Goldbeck hält das für ein „interessantes Modell, das Verbraucher schützen kann. Das aber netz- und rechtspolitische Fragen aufwirft“.

Denn die Anbieter von Internetanschlüssen wie Telekom, Vodafone, 1&1 & Co halten das Prinzip der Netzneutralität hoch: Sie wollen möglichst nichts mit übermittelten Inhalten zu tun haben und fordern deshalb das Löschen dort, wo die Daten der Seiten liegen. Die Erfahrung hat auch die Bafin gemacht, als sie erstmals im Mai 2021 eine Betrugsseite sperren lassen wollte. Einer der großen Anbieter widersetzte sich der Weisung und klagte schließlich auch gegen den Widerspruchsbescheid.
Mehr als drei Jahre nach dem Versuch, die Betrugsseite unzugänglich zu machen, verlor die Bafin am Verwaltungsgericht Frankfurt im Oktober 2024: Sie hatte die Weisung im konkreten Fall nicht erteilen dürfen. Für die Aufsichtsbehörde liest sich die Begründung dennoch wie ein Sieg: Das Gericht entschied, dass die Bafin den deutschen Anbietern vorgeben darf, die Verbindung zu problematischen Seiten zu kappen, wenn die Bafin vorher alle anderen Wege ausgeschöpft hat und an der Quelle nicht erfolgreich war.
Hat die Bafin also vergebens versucht, die Seite in dem Land zu löschen, in dem sie auf einem Server liegt, kann sie den umstrittenen Weg des Sperrens nutzen. Dieses Verfahren werde man auch nutzen, sagte ein Bafin-Sprecher t-online. Bisher blieb der Bafin nur das öffentliche Warnen mit Nennung der Anbieter. Zuletzt warnte sie im März 2025 vor Quantum AI, der vielleicht wichtigsten Betrugsplattform. Seit August 2022 ermittelt sie bereits gegen sie.

Es gibt noch eine weitere Betrugsmasche, die Namen und Gesichter vor allem prominenter Finanzanalysten und erfolgreicher Investoren missbraucht: Anlageinteressierte werden mithilfe der prominenten Namen in zahlungspflichtige „Clubs“ und WhatsApp-Gruppen gelockt, in denen es vermeintliche Insidertipps der Profis für todsichere Anlagen geben soll. Seriengründer und Tech-Investor Frank Thelen etwa warnt seine Abonnenten in einem Video vor KI-Videos, in denen er angeblich auf dem Börsenparkett für solche Gruppen werben soll. Ein Ziel kann dabei auch sein, Kurse einzelner Aktien zu beeinflussen. Thomas Kehl, „Finanz-Influencer“ mit 1,5 Millionen Abonnenten bei seinem YouTube-Kanal „Finanzfluss“, berichtete in einem Podcast, er erhalte täglich Hunderte Hinweise aus seiner Community auf gefälschte Anzeigen. „Da sind Riesen-Werbebudgets dahinter.“
Die Tarn-Strategien der Betrüger: Dass die Masche überhaupt noch funktioniert, hat auch damit zu tun, dass die Betrugsfirmen ihre Methoden anpassen und verfeinern – und sich tarnen. Das zeigte sich auch in den Accounts des Spaniers Luis Arbide und des Amerikaners Tim Meyers: Bevor deutsche Promis in wahnwitzigen Geschichten auftauchten, gab es dort unauffällige Anzeigen: Bei Arbide war es ein Posting aus dem vergangenen Jahr, das noch einmal als Werbung verschickt wurde, bei Myers ein nichtssagender Satz mit einem Foto, das offensichtlich von seiner Firmenhomepage genommen worden war. Offenbar geht es darum, mit einer ersten Anzeige als unverdächtiger Werbekunde zugelassen zu werden. Denn zu offensichtlich betrügerische Anzeigen werden oft nicht mehr zugelassen.
Deshalb wird auch beim Start der eigentlichen Betrugsanzeigen oft getrickst: Die gleiche Adresse kann zu unterschiedlichen Zeiten und aus unterschiedlichen Ländern eine ganz andere Seite ausliefern. Es wird eine Art Weiche eingebaut. Das kann dann so aussehen: Wenn eine Anzeige freigegeben ist und ein Nutzer aus Deutschland darauf klickt, landet er beispielsweise auf einer Seite „Robospark Investor“ in der Optik der Sparkassen. Wer hier Interesse hat und seine Daten eingibt, wird kontaktiert, um zum Start 250 Euro zu investieren.

Doch zu Beginn der Kampagne und bei Klicks aus anderen Ländern, führt der Link oft auf eine andere, unverdächtig erscheinende Firmenseite: Während der Recherche war das etwa „Solar Stern“. Der „Experte für Erneuerbare Energien“ ist ein reines Fantasie-Unternehmen, dessen vermeintliche Adresse in einer Berliner Kleingartensiedlung liegt. In anderen Fällen machen sie es sich noch einfacher: Wird nicht zur Krypto-Falle weitergeleitet, landen Nutzer bei Google oder einer echten Nachrichtenseite.

Auch bei den Zahlungen tricksen die Betrüger. Oberstaatsanwalt Goldbeck weiß von deutschen Opfern, die ihre erste Zahlung an deutsche gemeinnützige Vereine leisten sollten, etwa an Kindergarten-Fördervereine oder Ukraine-Initiativen. „Diese Vereine haben nichts mit der ganzen Sache zu tun und erstatten auch alles zurück.“
Spuren nach Russland mit wenig Bedeutung?
Der Sinn nach Goldbecks Erfahrung: „Es wirkt für Neukunden vertrauensbildend und beseitigt etwaiges Misstrauen, wenn die erste Zahlung an eine in Deutschland ansässige gemeinnützige Initiative geht.“ Um im weiteren Verlauf Kontrollmechanismen und Präventivmaßnahmen ihrer Banken zu unterlaufen, würden die Opfer von den Tätern gezielt beraten.
Die Hinterleute: Teile des Programmcodes auf Webseiten und IP-Adressen deuten auf Urheber in Russland hin. Nicht nur deshalb stellen viele Nutzer Spekulationen an, Russland könne hinter den Anzeigen stecken. Schließlich werden in den Anzeigen auch oft Politiker mit kontroversen Aussagen präsentiert. Nachgebaute Seiten seriöser Medien wie bei den Krypto-Lockvögeln sind ein Merkmal der großangelegten „Doppelgänger“-Kampagne zur russischen Desinformation. Kurz nach Russlands großflächigem Einmarsch in die Ukraine begann diese vom Kreml gesteuerte Kampagne, deren Inhalte auch über soziale Netzwerke verbreitet werden.
Ermittler wie der bayerische Oberstaatsanwalt Nino Goldbeck sehen allerdings kaum Anhaltspunkte für eine Verbindung Russlands zu den Kryptoschwindlern. Sie sehen die Kriminellen in vielen Ländern. Israel und Zypern seien nach den bisher gewonnenen Erkenntnissen traditionell Länder, aus denen derartige Geschäfte gesteuert werden. Viele Call-Center-Unternehmen gebe es in der Ukraine oder in Georgien, aber auch auf dem Balkan. Sie spezialisierten sich jeweils auf bestimmte Sprachräume.
Über das Innenleben haben Journalisten bei einem Unternehmen aus Georgien detaillierte Einblicke gewinnen können: Mehr als 80 Mitarbeiter waren an mindestens drei Standorten der „AK Group“ tätig, um Menschen auf Deutsch, Englisch, Spanisch und Russisch zum Zahlen zu ködern. Zunächst traten sie wie beste Freunde auf. Sobald ihre Opfer den Betrug erkannten, wurden sie kaltschnäuzig und spöttisch behandelt. Das zeigen die mitgeschnittenen Telefonate.

Investigative Reporter des schwedischen Senders SVT hatten zuvor von einem Insider Tausende Stunden Gespräche und weitere interne Unterlagen zugespielt bekommen. Die anonyme Quelle gab dazu an: Er wolle Aufmerksamkeit, um eine internationale Kooperation der Ermittler voranzutreiben. „Betrüger können nahezu offen agieren, ohne dass sie jemand aufhält.“
Die Schweden teilten die Daten über ein internationales Rechercheprojekt, das Organized Crime & Corruption Reporting Project, mit Journalisten in anderen Ländern. Nach den Enthüllungen beschlagnahmten georgische Behörden Immobilien und nahmen Ermittlungen auf.
Die Recherchen zeigen, dass besonders erfolgreiche Betrüger bei der Firma 20.000 Dollar im Monat verdienten – in einem Land mit einem Durchschnittseinkommen von 650 Euro. Sie traten mit Pseudonymen wie Mary Roberts, Barry Anderson und Lana Lehman auf. Obwohl die Betrugsfirma als eher kleinerer Player gilt, sammelte sie allein von Mai 2022 bis Februar 2025 von mehr als 6.000 Menschen rund 30,5 Millionen Euro ein. Mit rauschenden Firmenpartys wurden die Erfolge gefeiert. Fotos davon zeigen auch die Firmenchefs Meri Shotadze und Akaki Kevkhishvili, die auf Accounts in Social Media Bilder eines Luxuslebens vorführten. Die Accounts haben sie inzwischen deaktiviert.
Bei den Recherchen wirkten die Twitter-Nutzer @mfphhh und @bastelbro1 mit.