Affiliate-Lookalike-Domains

Moderne Scam-Funnels sind auf Austausch ausgelegt. Der Pitch, das Dashboard, die Account-Manager-Skripte und das Auszahlungs-Skript sitzen auf einer Vorlage, die der Betreiber in Stunden neu deployen kann. Wenn eine Domain von einer Aufsichtsbehörde oder Suchmaschine markiert wird, setzt der Betreiber eine nahezu identische URL auf -- eine andere Schreibweise, eine andere Top-Level-Domain, ein zusätzlicher Bindestrich -- und der Funnel läuft weiter.

Für das Opfer ist der ursprüngliche Markenname kaum noch relevant. Der Funnel verfolgt sie über Affiliate-Links, Pop-up-Anzeigen und «empfohlene» Follow-up-Angebote, und jeder dieser Links kann das Ziel wechseln, ohne die Botschaft zu ändern. Bis jemand die Domain recherchiert, auf die er tatsächlich eingezahlt hat, ist das Geld bereits durch ein Netzwerk geflossen, das das Opfer nie gesehen hat.

Drei Lookalike-Muster erscheinen in fast jedem Fall dieses Hubs. Erstens: Marken-Präfix-Tausch -- «primetrade.io» wird zu «prime-trade.io» wird zu «prime-capital-trade.io» mit derselben Landing-Page-Vorlage darunter. Zweitens: Top-Level-Domain-Tausch -- eine .com wird aufgegeben, eine .net oder regionale TLD übernimmt, und die Affiliate-Kette schickt weiter Traffic. Drittens: Registrar-Hopping -- dieselbe Registranten-E-Mail erscheint hinter rotierenden WHOIS-Einträgen mit Privacy-Schutz.

Jedes dieser Muster ist günstig zu betreiben und fatal zu verfolgen. Das Recherche-Archiv auf dieser Seite verknüpft die Domains, damit Suchende alle zusammenhängenden URLs über eine einzige Fallakte finden, statt das Muster erst nach einem Geldverlust auf dem neuesten Klon selbst entdecken zu müssen.

Oracle Bot IA ist das klarste Einzelfallbeispiel für alle Lookalike-Muster zusammen. Die FCA-Warnung vom 16. Oktober 2024 nennt drei Schwester-Domains, die denselben KI-Trading-Pitch betreiben: oracleiatrade.com, lyon-bot-ia.com und oracle-bot-ia.com. Der Traffic wird über Telegram, Instagram und Meta-Ads geleitet, sodass ein Besucher, der eine Domain findet, in der Regel nur ein Drittel des Funnels sieht. Die dedizierte Oracle-Bot-IA-Fallseite auf dieser Website verknüpft alle drei URLs, damit ein Suchender über jede einzelne auf demselben behördlich gestützten Eintrag landet.

Das Doppel-Domain- und Klon-Domain-Playbook taucht immer wieder in neuen FCA-Warnungen auf. Crypto CFD Trade betreibt den Pitch auf zwei Domains gleichzeitig (cryptocfdtrader.io und cryptocfdtrader.co.uk). PRIME CAPITAL TRADE koppelt primecapitaltrade.com mit einer Affiliate-Lookalike-URL (primecapitaltrade.com.kelvinaffiliate.click). Active Crypto Trade Market zeigt eine Lücke zwischen Markenname und URL -- der Vierwort-Markenname und die Domain activecryptotrademkt.com sind nicht dieselbe Zeichenkette. Premium FX Trade fährt einen Doppel-Domain-Stack und hat einen seltenen Doppel-Aufsichtseintrag. Limitless Cover ist der erste Versicherungsfall auf diesem Schreibtisch, ein britischer Kfz-Versicherungs-Klon mit zwei geklonten Domains.

Jede dieser fünf Seiten dokumentiert das Doppel- oder Klon-Muster direkt anhand des FCA-Eintrags, sodass ein Suchender, der über eine der gelisteten URLs kommt, auf dieselbe behördlich verankerte Fallakte trifft.

FX Automated Bot Trading ist das sauberste Beispiel in diesem Hub dafür, wie ein Betreiber eine Exact-Match-Domain kauft, die vier suchintensive Begriffe in einer einzigen URL verschweisst. Die FCA-Warnung vom 18. Mai 2023 nennt fxautomatedbottrading.com -- «fx» plus «automated» plus «bot» plus «trading» ohne Bindestriche aneinandergereiht, sodass die Domain selbst zur Suchintentions-Fangschlinge wird. Wer zwei dieser Wörter bei Google eingibt, sieht die URL als Ergebnis, und die Vier-Keyword-Zeichenkette leistet die Glaubwürdigkeitsarbeit, die normalerweise eine Aufsichtszulassung leisten müsste.

Die dedizierte FX-Automated-Bot-Trading-Fallseite auf dieser Website kontrastiert die URL fxautomatedbottrading.com mit dem FCA-Eintrag als nicht autorisiertes Unternehmen, sodass die Vier-Keyword-Zeichenkette in dem Moment aufhört, als Vertrauensabkürzung zu funktionieren, in dem jemand die Marke sucht. Die Exact-Match-Domain-Taktik ist billig -- deshalb taucht dieselbe Betreiber-Vorlage immer wieder in neueren Warnungen auf. Der Hub verfolgt das Muster, damit der Kategorie-Fang-Zug keine Anonymität mehr kaufen kann.

Wenn die Domain in einer Anzeige oder DM um ein Zeichen von einer Ihnen bekannten Marke abweicht, behandeln Sie sie als Scam-Muster, bis das Gegenteil bewiesen ist. Echte regulierte Firmen rotieren ihre Domains selten -- sie bezahlen für den Schutz des Originalnamens und leiten Anzeigen dorthin zurück. Eine neue Lookalike-URL mit einem neuen Telegram-Account-Manager und einem neuen «zeitlich begrenzten» Angebot ist genau das Betrugs-Infrastruktur-Muster, das in Infrastructure of Fraud 2026 dokumentiert wird.

Der sicherste Schritt ist immer, einen neuen Browser-Tab zu öffnen und direkt zur kanonischen Marke zu navigieren -- niemals über eine Anzeige, ein bezahltes Suchergebnis oder einen Affiliate-Link. Wenn die Marke seriös ist, funktioniert die echte Seite. Wenn nicht, gehört die zugesandte Domain in eine Scam-Meldung auf dieser Seite, idealerweise mit Screenshots und der genauen URL, wie sie in Ihrem Postfach oder Ihrer DM erschienen ist.