Wie die Masche funktioniert.
Operationen dieser Art geben sich typischerweise als Kontoverwaltungs- oder Authentifizierungsportale aus, also als Seiten, die die Login-Infrastruktur eines bekannten Dienstes oder einer Börse nachahmen. Die Domain-Struktur selbst, beginnend mit dem Wort 'account', ist eine bewusste Gestaltungsentscheidung: Sie verleiht der URL einen oberflächlichen Anschein von Seriosität und suggeriert eine offizielle Konto-Subdomain statt einer eigenständigen betrügerischen Seite. Opfer werden in der Regel über Phishing-Links hierher geleitet, die über soziale Medien, E-Mail oder Messaging-Anwendungen verbreitet werden.
Sobald ein Nutzer auf dem Portal landet und Zugangsdaten oder Wallet-Informationen eingibt, erfasst der Betreiber diese Informationen unmittelbar. Bei Varianten zum Abgreifen von Zugangsdaten werden die übermittelten Daten protokolliert und genutzt, um auf die echten Konten des Opfers bei legitimen Plattformen zuzugreifen. Bei Wallet-Drain-Varianten wird der Nutzer aufgefordert, eine Wallet zu verbinden oder eine Transaktion zu autorisieren, woraufhin der Betreiber eine ausgehende Überweisung in Gang setzt. Die Seite selbst kann überzeugend wirken und sogar Bestätigungen oder Kontostände simulieren, um Verdacht hinauszuzögern.
Der Punkt des Scheiterns wird typischerweise erst im Nachhinein erkennbar, wenn ein Opfer unautorisierte Abhebungen von einem legitimen Konto bemerkt, seine Wallet geleert vorfindet oder feststellt, dass das 'Kontoportal', über das es sich authentifiziert hat, keinerlei Beziehung zu dem Dienst hat, den es vorzugeben schien. Zu diesem Zeitpunkt ist die Seite oft bereits offline oder wechselt zu einer neuen Domain, und der Betreiber hat die Gelder bereits über Mixing oder Cross-Chain-Transfers verschoben, um die Nachverfolgung zu erschweren.
Warnsignale, die wir dokumentiert haben.
- 01Blacklist confirmation with no legitimate registration trailThe domain appears in the CryptoScamDB blacklist, an open, community-maintained registry of cryptoasset fraud infrastructure. Inclusion is evidence-based, not speculative. No corresponding legitimate business registration, regulatory licence, or credible corporate presence has been documented for this domain.
- 02Account-prefix domain pattern favoured by phishing operationsFraudulent portals routinely prepend 'account-' or 'accounts.' to a brand-adjacent term to manufacture the appearance of an official authentication subdomain. This naming convention exploits the visual scanning habits of users who check for brand names rather than full domain strings.
- 03Net TLD with no institutional anchorLegitimate financial or exchange platforms operating at scale typically maintain consistent, verifiable web infrastructure tied to a registered legal entity. A .net domain with no documented organisational owner and no prior legitimate operational history is consistent with disposable fraud infrastructure.
- 04No documented regulatory status or jurisdictionNo information exists placing this operation under any financial regulatory framework. Unregulated platforms soliciting account credentials or wallet access from cryptoasset holders carry an elevated risk profile regardless of their surface presentation.
- 05Short operational window consistent with hit-and-run infrastructureDomains of this type are frequently registered, deployed, and abandoned within a compressed timeframe, sometimes days or weeks. The absence of any historical legitimate presence associated with this domain is consistent with infrastructure built for a single campaign rather than a sustained, lawful business.
Was Sie jetzt tun können.
Open a free 24-hour case assessment with CryptoLeek +
Tell us what happened. A senior analyst reads your file within 24 hours and replies with an honest yes/no/conditional on recovery. The assessment is free. If we cannot recover the funds we say so plainly, including which (free) regulator channel you should use instead. If we accept the case, we open a numbered case file and issue a written quote for a flat investigation retainer before any work begins, scoped to case complexity, the jurisdictions involved, and the on-chain trail.
Trace your funds on-chain with our analysts +
We trace stolen crypto across BTC, ETH, EVM L2s, Solana, Tron, and major stablecoins using the same toolchain as regulators and tier-1 exchange compliance teams. The output is a forensic report anchored to specific transaction hashes and block heights, the evidence that exchanges, payment processors, and counsel actually act on. Recovery starts here.
Recover with counsel where civil action makes sense +
Where the trace lands in a jurisdiction with cooperative banks and courts, we coordinate with bar-licensed counsel in our 40+ jurisdiction network for civil action and asset-freezing orders (Mareva-style). Counsel bill you directly; the CryptoLeek investigation retainer is independent of counsel fees. The outcome is funds released back to your nominated wallet or bank account.