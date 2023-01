Hannover. Es ist eine inzwischen bekannte Masche - und sie wird in der Influencer-Szene zu einem immer größeren Problem: Krypto-Betrüger hacken reichweitenstarke Kanäle bekannter Youtuberinnen und Youtuber, löschen sämtliche Videos und verbreiten dann auf den Profilen Clips und Livestreams - meist verbunden mit fragwürdigen Investment-Tipps und Bitcoin-Scams. Für die Betroffenen nagt die Attacke an ihrer beruflichen Existenz - während Fans schlimmstenfalls auf den Betrug hereinfallen und jede Menge Geld verlieren.

Nun hat es den nächsten getroffen: Der Youtube-Kanal des Auto-Tuners Jean Pierre Kraemer, auch bekannt als JP Performance (mehr als 2 Millionen Followerinnen und Follower), ist nicht mehr aufrufbar. Kurz nach dem Jahreswechsel verbreitete der Kanal plötzlich abstruse Livestreams. Darin zu sehen: Tesla-Chef Elon Musk, der angeblich über seinen Rückzug als Besitzer der Plattform Twitter philosophiert. Der Kanal des bekannten Youtubers wurde zudem in @theteslaworld umbenannt, Links in den Videobeschreibungen führten zu Scam-Seiten - auch die Videos des Youtubers wurden offenbar entfernt. Inzwischen ist der Kanal ganz von der Plattform Youtube verschwunden.

Kraemer meldete sich über Instagram zu Wort, um seine Fans zu warnen: „Ich weiß gar nicht genau, was ich sagen soll, weil es ist so eine krasse Situation“, so der 42-Jährige. „Ich habe das Gefühl, dass ich euch verloren habe. Das ist echt Wahnsinn.“ Fans sollten keinesfalls auf Links klicken oder gar Geld an die Betrüger schicken. Er sei geschockt, dass sein Kanal gehackt wurde, ohne dass auch nur irgendeine Sicherheitsmaßnahme ausgereicht hätte, so der Youtuber weiter.

Zugleich zeigte sich 42-Jährige zuversichtlich, dass sein Kanal vollständig wiederhergestellt werde. „Wir kämpfen wirklich an jeder Front, überall, um das alles wieder hinzubekommen“. Bis jetzt allerdings (Stand: Dienstag, 16 Uhr) ist das noch nicht passiert.

Immer wieder neue Fälle

Der Krypto-Hack bekannter Youtube-Kanäle ist in der Branche inzwischen ein riesiges Ärgernis: Im vergangenen Jahr traf eine ganz ähnliche Attacke den bekannten Youtuber Julien Bam (mehr als 6 Millionen Followerinnen und Follower). Auch er verlor für mehrere Tage sämtliche Youtube-Kanäle und damit seine berufliche Grundlage - ehe das zu Google gehörende Unternehmen nach offenbar längerem Hin und Her die Plattformen wiederherstellte.

Betroffen war zuletzt auch der deutsche Youtuber Tanzverbot und der Streamer Solution. Auch zahlreiche internationale Videomacher traf die Hacking-Attacke, die immer nach der gleichen Masche abläuft.

Selbst vor bereits verstorbenen Influencern machen die Hacker keinen Halt: Im April vergangenen Jahres hatten Betrüger über den Account des 2020 gestorbenen Youtubers Reckful ihre Krypto-Scam verbreitet. Alle betroffenen Kanäle konnten erst nach mehreren Tagen wiederhergestellt werden.

Hacker umgehen selbst Sicherheitsmaßnahmen

In der Youtube-Szene wird inzwischen intensiv darüber diskutiert, wie genau die Hacker wohl vorgehen - und wie man sich vor einer solchen Attacke schützen kann. Eine eindeutige Antwort hat bislang niemand. Nur eines ist klar: Die Kriminellen gehen bei ihrer Masche ziemlich perfide und offenbar äußerst professionell vor.

Auffällig etwa ist, dass die Hacker vorwiegend Feiertage für ihre Attacken wählen - im Falle von JP Performance etwa den Jahreswechsel, bei Julien Bam die Osterfeiertage. Zu diesem Zeitpunkt haben die Betroffenen meist andere Dinge zu tun, ein Angriff fällt womöglich nicht sofort auf. Auch das Support-Team von Youtube ist an Feiertagen nicht vollzählig besetzt.

Zudem scheinen die Hacker alle möglichen Sicherheitsvorkehrungen zu umgehen. Die Zwei-Faktor-Authentifizierung, eine eigentlich recht sicherere Methode zur Absicherung eines Online-Kontos, scheint keine Wirkung zu zeigen. Betroffene Youtuber berichten in ihren Videos, Hacker würden die hinterlegten Telefonnummern der geknackten Accounts sogar ändern - somit ist eine Wiederherstellung der Konten kaum möglich. Auch Jean Pierre Kraemer erklärt in seiner Instagram-Story, er und sein Team hätten alle Sicherheitsmaßnahmen getroffen, aber nichts habe geholfen. Nicht einmal eine Benachrichtigung habe er erhalten, dass sich ein fremder Computer in seinen Account eingeloggt habe.

Phishing durch Influencer-Angebote

Wie ist das möglich? Google selbst hatte bereits 2021 Einblicke gegeben, wie betroffene Kanäle offenbar geknackt werden. Zurückzuführen sind diese nach Angaben des Unternehmens auf Phishing-Attacken. Betrüger senden Influencerinnen und Influencern eine E-Mail, in denen sie vorgeben, ein möglicher Kooperationspartner zu sein. Dabei sollen die Kriminellen bekannte Markennamen etwa von VPN-Anbietern oder Fotobearbeitungsapps vortäuschen.

Sie schlagen den Youtuberinnen und Youtubern dann eine gewöhnliche Werbe-Kooperation vor: Influencer werben für das Produkt und erhalten dafür eine Bezahlung. Beim Herunterladen der nötigen Dokumente werden die Betroffenen aber nicht zur Website der angeblichen Firma geleitet sondern auf eine Malware-Website geschickt. Diese schnappt sich dann unwissentlich den sogenannten „Session-Cookie“ aus dem Browser des Betroffenen - eine besonders perfide Methode, da dieser den Anmeldevorgang in einem Online-Konto überflüssig macht. So gelingt es den Angreifern schließlich auch, sich an Sicherheitsmethoden wie etwa der Zwei-Faktor-Authentifizierung vorbeizuschleichen und die Accounts zu übernehmen.

IT-Sicherheitsexperten hatten diese Methode bereits beim Hack von Julien Bam im vergangenen Jahr als plausiblel bezeichnet. Google selbst erklärte seinerzeit, das Unternehmen habe über 1000 Domains gefunden, die speziell dafür entwickelt worden seien, unwissende Youtuber mit Malware zu infizieren. Zudem fand das Unternehmen 15.000 E-Mail-Konten, die mit den Angreifern hinter der Betrugsmethode in Verbindung stehen. Organisiert seien diese offenbar in russischsprachigen Hacker-Foren.

Influencer halten sich bedeckt

Ob die Phishing-Methode mit der Influencer-Werbung tatsächlich in jedem Fall die Ursache war, lässt sich schwer überprüfen. Julien Bam hatte sich im vergangenen Jahr nicht näher zur Ursache des Hacks geäußert, auch Jean Pierre Kraemer geht in seiner Instagram-Story nicht näher darauf ein. Alle Youtuber betonen stets, sie achteten verschärft auf die Online-Sicherheit.

Plausibel ist die Masche aber durchaus: Große Youtuber mit mehreren Millionen Followern haben in der Regel ein Team an Mitarbeitern, die auch Zugriff auf den Youtube-Kanal haben. Ein falscher Klick eines Beschäftigten auf einen betrügerischen Link kann also genügen.

Gegen die Theorie sprechen Berichte anderer Betroffener. Der Youtuber Tanzverbot hatte im vergangenen Jahr erklärt, er habe sich im Netz nur ein Programm zum Übertakten der Grafikkarte herunterladen wollen - dabei habe er sich die Malware eingefangen, die schließlich seinen Youtube-Kanal kaperte. Wenn dem so wäre, würde das allerdings bedeuten, dass sich die Krypto-Hacker gar nicht bewusst Influencer aussuchen, um ihre Betrugsvideo zu verbreiten - sondern ihre Opfer eher wahllos finden.

Wie schützt man sich vor solchen Angriffen?

Gegen das sogenannte Session-Hijacking können Betroffene derweil kaum etwas unternehmen - schlimmstenfalls wird dieses erst bemerkt, wenn die Hacker längst in die eigenen Konten eingedrungen sind. Laut IT-Sicherheitsexperten kann die richtige Prävention derartige Angriffe aber deutlich minimieren.

Dazu zählt etwa, nicht auf unbekannte Links aus E-Mails zu klicken, um Phishing von vornherein zu verhindern. Auch sollte das Betriebssystem auf dem aktuellsten Stand gehalten und regelmäßig aktualisiert werden. PCs sollten zudem mit einer aktuellen Antivirus-Software ausgestattet sein - die Firewall sollte stets aktiviert sein. Und in öffentlichen WLAN-Netzen sollte bestenfalls gar nicht gesurft werden - und wenn, dann nur mit einer sicheren VPN-Verbindung. Auch kann es helfen, sich nach jeder Sitzung in einem Online-Konto auszuloggen.

Ist man tatsächlich von einem Hack betroffen, kann das Wiederherstellen des eigenen Kontos ein langwieriger Prozess sein. Google oder Youtube haben keine Support-Hotline, um derartige Fälle zu melden. Betroffene Youtuber berichten, dass aber der Twitter-Kanal @TeamYouTube bei Zwischenfällen schnell weiterhilft.

Immer wieder Betrug auf Youtube

Youtube selbst hat immer wieder mit Betrugsmaschen zu kämpfen. Zu einem großen Problem entwickeln sich, außer den Hacks, auch Identitätsdiebstähle in den Kommentarspalten der Plattform. Betrüger geben sich dabei als bekannte Youtuber aus, indem sie ihre Profilbilder klauen. Gutgläubige Fans werden dann über die Kommentarspalten von Videos in Telegram-Gruppen gelockt, um sie dort auszunehmen.

Wie viele Menschen sich tatsächlich von derartigen Betrugsversuchen reinlegen lassen, ist unbekannt. Ganz unerfolgreich scheinen die Maschen aber nicht zu sein - sonst würde die Plattform nicht derartig von ihnen geflutet.

Youtube selbst scheint aktuell weder das eine noch das andere Problem in den Griff zu bekommen. Warum das so ist, bleibt unklar: Auf eine Anfrage des RedaktionsNetzwerk Deutschland (RND) hat die Plattform bislang nicht reagiert.