Gefälschte Lidl-Shops im Netz: Wie Betrüger mit Markenimitation Opfer täuschen

Hinter der Fassade täuschend echter Online-Shops verbirgt sich ein hochentwickeltes Netzwerk digitaler Kriminalität. Ziel dieser Webseiten ist weit mehr als nur die Vortäuschung günstiger Angebote – sie dienen vor allem dem systematischen Abgriff sensibler persönlicher und finanzieller Informationen. Diese Daten ermöglichen Betrügern den gezielten Missbrauch von Kreditkarten und andere Formen nachgelagerter Finanzkriminalität.

Bis zum 8. Mai 2025 konnten Sicherheitsexperten das Netzwerk mit zwölf gemeinsam genutzten Händlerkonten in Verbindung bringen. Diese Konten – darunter Namen wie AKRU KERAMIK GMBH, YSP*QHWLKJSHOP und CLOTHWEARABLY – gelten als besonders anfällig für betrügerische Aktivitäten und bergen sowohl für Kartenaussteller als auch für Händler-Acquirer erhebliche Risiken in puncto Finanzen und Compliance.

Die technische Raffinesse des Netzwerks offenbart sich in seiner Struktur: Die Domains, die nachweislich seit mindestens Februar 2025 aktiv sind, zeigen eine auffällige Verflechtung über gemeinsame Zahlungsabwickler. Besonders brisant ist der Verdacht auf Transaktionswäsche – also das Verschleiern illegaler Einnahmen durch vermeintlich legitime Käufe. Hinweise darauf liefern unter anderem Diskrepanzen bei den Händler-URL-Zuordnungen, etwa im Fall von PETHOUSEN LLC, das nicht mit seiner angeblich legitimen Website, sondern mit verdächtigen Domains verknüpft ist.

Quelle: Recorded Future

Verbreitet werden die gefälschten Shops zudem aggressiv über Online-Werbung – etwa auf Facebook. Unter irreführenden Werbenamen wie „EU STORE“ oder „L Clearance“ werden Nutzer gezielt auf betrügerische Seiten gelockt. Zwar wurden viele dieser Anzeigen nach Verstößen gegen Werberichtlinien entfernt, doch die Täter reagieren schnell: Immer neue Domains ersetzen die abgeschalteten Seiten. Die Lebensdauer einer typischen Domain beträgt im Durchschnitt nur 65 Tage – ein weiteres Indiz für das systematische Vorgehen.

Ein Risikowert von 88 von 100 Punkten laut DomainTools bestätigt die Bedrohungslage. Die genaue Urheberschaft des Netzwerks bleibt indes unklar: Recorded Future hält sowohl die Steuerung durch einen einzelnen Akteur als auch die koordinierte Zusammenarbeit mehrerer Krimineller für möglich. Dienste aus dem Darknet – darunter „Cash-out“-Services, betrugsbasierte Werbung (Malvertising) und künstliche Traffic-Steigerung – könnten zur Organisation beitragen.

Trotz der flüchtigen Natur der Domains liefern Gemeinsamkeiten in den Registrierungsdaten der Händler wichtige Anhaltspunkte. Für Kartenaussteller bedeutet das: Transaktionen mit bekannten Betrugs-Händlern sollten konsequent blockiert, die Risikoanalyse bei betroffenen Kunden verschärft und im Zweifel betroffene Karten neu ausgestellt werden. Auch Händler-Acquirer sind gefordert: Sie sollten verdächtige Konten markieren und mithilfe von BIN- und MCC-Daten eine verschärfte Prüfung oder Kündigung einleiten.

Ausblick für Kaufbetrugsnetzwerke

Unsere Analyse hat bestätigt, dass das in diesem Bericht identifizierte mutmaßliche Kaufbetrugsnetzwerk seit Februar 2025 aktiv ist. Da wir weiterhin neue betrügerische Domains innerhalb der Gruppe bestätigen, scheint der Betrieb des Betrugsnetzwerks fortgesetzt zu werden. Daher ist davon auszugehen, dass der Betreiber des Betrugsnetzwerks weiterhin neue Domains und Online-Werbekampagnen einsetzen wird, um seine betrügerischen Aktivitäten zu unterstützen, insbesondere wenn alte Domains und Werbekampagnen offline genommen werden.

Diese neuen Scam-Domains werden wahrscheinlich die in diesem Bericht identifizierten Händlerkonten verwenden. Die Kündigung oder Sperrung von Scam-Händlerkonten durch ihre Acquirer wird wahrscheinlich nicht alle Scam-Aktivitäten des Betreibers stoppen. Allerdings würde eine solche Maßnahme mit ziemlicher Sicherheit zusätzlichen Zeit- und Ressourcenaufwand für den Betreiber des Scam-Netzwerks bedeuten, um eine neue Infrastruktur für Händlerkonten aufzubauen.

Redaktion AllAboutSecurity