Anatomie eines Multi-Accounting-Angriffs: Fallstudie zu einer iGaming-Plattform
Ein Betreiber, 217 Konten, $84.000 an Bonus-Missbrauch. Wie professionelles Multi-Accounting tatsächlich aufgebaut ist — und die 11 korrelierten Signale, die den gesamten Cluster wieder auf einen einzigen Betrüger zusammenfallen ließen.
Multi-Accounting im iGaming ist nicht eine Handvoll Leute, die Zweitkonten eröffnen. Es sind professionelle Operationen, die Hunderte synthetischer Identitäten gegen eine einzelne Plattform fahren und Willkommensboni, Cashback und Promo-Auszahlungen extrahieren.
Die Ökonomie funktioniert, weil die Grenzkosten eines neuen Kontos nahe null liegen — E-Mail, Wegwerf-Telefonnummer, gestohlene oder synthetisierte Ausweisdokumente — und die Grenzauszahlung pro Konto echtes Geld ist. Bei $50–200 extrahiertem Wert pro Konto sind 200 Konten gegen einen Anbieter ein Vollzeiteinkommen.
Dies ist die Aufschlüsselung eines realen Angriffsmusters, das 2025 gegen europäische iGaming-Anbieter beobachtet wurde. Namen und Details sind anonymisiert. Die Techniken sind aktuell.
Das Setup: die Infrastruktur, in die der Betrüger investiert
Ein ernsthafter Multi-Accounter betreibt eine kleine Infrastruktur:
-
Ein Residential-Proxy-Abo — typischerweise 911.re, IPRoyal oder Smartproxy — mit rotierenden IPs aus Dutzenden Ländern. Kosten: $50–200 pro Monat.
-
Einen Antidetect-Browser — Multilogin, Dolphin Anty, GoLogin, Kameleo oder AdsPower. Jedes dieser Tools betreibt isolierte Browser-Profile mit unabhängig konfigurierten Fingerprints. Kosten: $50–150 pro Monat.
-
Einen Vorrat an gealterten Identitäten — entweder in Foren gekauft (Bundles aus verifizierter E-Mail + Telefonnummer + Dokumentenscan) oder generiert. Kosten: $5–30 pro Identität.
-
Zahlungsinfrastruktur — Prepaid-Karten, Kryptowährungs-Wallets oder Money Mules, um Gewinne ohne einheitliche Kontospuren zu empfangen.
Gesamter monatlicher Overhead: $200–500. Bei $84.000 extrahiertem Wert über 6 Monate liegt der ROI bei 20–30x.
Der Lebenszyklus eines einzelnen betrügerischen Kontos
Jedes synthetische Konto folgt einem ähnlichen Muster:
1. Ein Antidetect-Browser-Profil wird mit frischem Fingerprint aufgesetzt (Canvas, WebGL, Zeitzone, Sprache, Bildschirmauflösung).
2. Ein Residential-Proxy wird zugewiesen — typischerweise aus einem Land, das zu den Ausweisdokumenten passt.
3. Die Registrierung wird mit einer gealterten Identität abgeschlossen: E-Mail, Telefonverifizierung über einen SMS-Weiterleitungsdienst, Ausweis-Upload eines gestohlenen oder generierten Dokuments.
4. KYC wird bestanden — weil die Ausweisdokumente echt (gestohlen) oder professionell gefälscht sind.
5. Eine kleine Einzahlung wird getätigt — oft $10–30 —, um den Willkommensbonus zu aktivieren.
6. Der Bonus wird mit einer gezielten Spielauswahl durchgespielt, die den Erwartungswert gegen die Umsatzbedingungen maximiert.
7. Gewinne werden auf die mit der Identität verknüpfte Zahlungsmethode abgehoben.
8. Das Konto wird aufgegeben oder verkauft.
Der gesamte Zyklus dauert 2–7 Tage. Ein professioneller Betreiber fährt 20–40 Konten gleichzeitig in unterschiedlichen Phasen dieser Pipeline.
Was der Anbieter beobachtete
Das Fraud-Team der iGaming-Plattform bemerkte im Q2 Anomalien:
-
Die Bonus-Auszahlungsquote auf neuen Konten stieg im Quartalsvergleich von 47% auf 63%.
-
Chargebacks blieben niedrig — es waren also keine gestohlenen Karten. Der Betrug war struktureller, nicht transaktionaler Natur.
-
Support-Tickets von wiederkehrenden Spielern, die ihre eigene Kontohistorie nicht wiedererkannten, nahmen zu.
Das Team vermutete Multi-Accounting, hatte aber nicht das Tooling, um es im großen Maßstab nachzuweisen. Jedes Konto sah isoliert betrachtet legitim aus. Andere Namen, andere IPs, andere Fingerprints, andere Dokumente.
Was die Signale tatsächlich zeigten
Als Device-Intelligence-Signale rückwirkend auf die Kontopopulation angewendet wurden, fielen 217 Konten auf einen einzigen Betreiber zusammen. Das hier band sie aneinander.
Signal 1. Wiederverwendung des TLS-Fingerprints
Trotz unterschiedlicher IPs und unterschiedlicher Browser-Fingerprints teilten sich die 217 Konten nur 3 eindeutige JA4-Hashes. Der TLS-Fingerprint wird von der Client-Bibliothek erzeugt — und während der Antidetect-Browser Canvas und WebGL fälschen konnte, nutzte er für TLS-Handshakes einen einzigen zugrunde liegenden Chromium-Build. Die drei JA4-Hashes entsprachen drei Versionen des Antidetect-Browsers, durch die sich der Betreiber nach und nach aktualisierte.
Signal 2. Verhaltens-Timing über Sessions hinweg
Die Registrierungszeiten der 217 Konten clusterten in engen Fenstern: überwiegend 09:00–11:00 UTC an Werktagen. Echte Spieler registrieren sich über den vollen 24-Stunden-Zyklus. Menschliche Arbeitszeiten in einer einzigen Zeitzone verrieten den Betreiber — unabhängig davon, welche Zeitzone jedes Fake-Profil behauptete.
Signal 3. Bonus-Spielmuster
Die Wettstrategie über die Konten hinweg war nahezu identisch: dieselbe Spielauswahl (bestimmte Slots mit niedriger Varianz), dieselbe Einsatzhöhe relativ zum Bonus, dieselbe Session-Dauer vor dem Auszahlungsantrag. Echte Spieler haben wild unterschiedliche Vorlieben. Statistische Uniformität über Konten hinweg ist nur mit einem Skript oder einem Playbook möglich.
Signal 4. Mikro-Muster der Mausbewegung
Antidetect-Browser fälschen visuelle Fingerprints, aber nicht die Art, wie sich ein Mensch durch eine Session bewegt. Die Maus-Traces der 217 Konten hatten gemeinsame Merkmale — Bezier-Kurven mit konsistenten Beschleunigungsprofilen, spezifische Muster der Rückkehr zu denselben Koordinaten vor Klicks. Alle erzeugt von der Automatisierung des Betreibers.
Signal 5. Clustering der Zahlungsendpunkte
Trotz unterschiedlicher Namen auf den Konten liefen die Auszahlungen über 8 eindeutige Kryptowährungs-Wallets. Wallet-Wiederverwendung über nicht verbundene Konten hinweg ist eines der stärksten verfügbaren Signale und erfordert keinerlei Erkennung auf Geräteebene.
Signal 6. Inkonsistenzen bei der Font-Enumeration
Der Antidetect-Browser fälscht Font-Listen, aber nur aus einer vorgefertigten Bibliothek. Alle 217 Konten meldeten Font-Enumerationen aus einem begrenzten Pool von 5 Templates. Echte Nutzer haben einzigartige Kombinationen installierter Schriften. Die Templates flogen auf, weil ihre Diversität zu gering war.
Signal 7. Clustering der WebGL-Renderer
Der Antidetect-Browser rotiert GPU-Strings, aber aus einem festen Set — typischerweise die 20–30 häufigsten Consumer-GPUs. Über die 217 Konten hinweg traten GPU-Strings mit einer unplausiblen Verteilung auf: starke Überrepräsentation bestimmter Intel- und NVIDIA-Modelle, ohne jede Vertretung von AMD-Hardware. Reale Nutzerpopulationen haben eine breitere GPU-Verteilung.
Signal 8. Nicht standardisierte Bildschirmauflösungen
Antidetect-Browser generieren Bildschirmdimensionen, aber oft mit Nicht-Standard-Auflösungen, um einzigartig zu wirken. Echte Bildschirme sind 1366×768, 1920×1080, 2560×1440, 3840×2160 oder eine Handvoll Laptop-Größen. Unter den 217 Konten fanden sich Dimensionen wie 1892×1063, die kein reales Display verwendet.
Signal 9. Session-Überlappung über Konten hinweg
Zwei Konten meldeten sich innerhalb von Millisekunden von derselben IP an, aber aus unterschiedlichen Antidetect-Profilen. Die Session-Logs zeigten: Wenn sich ein Konto abmeldete, meldete sich innerhalb von Sekunden ein anderes an — von einer anderen IP, aber mit erkennbaren Verbindungsmerkmalen, die beide miteinander verbanden. Der Proxy-Pool rotierte, die Handlungen des Betreibers nicht.
Signal 10. Korrelation der Einzahlungsquellen
Kryptowährungs-Einzahlungen auf die Konten kamen von 12 Quell-Wallets. Die Blockchain-Analyse zeigte, dass diese 12 Wallets ihre Mittel von einem einzigen vorgelagerten Börsenkonto erhielten. Die Follow-the-Money-Analyse verknüpfte den gesamten Cluster.
Signal 11. Sprachliche Muster in Support-Tickets
Einige der Konten eröffneten über die 6 Monate hinweg Support-Tickets. Die Sprachmuster — bestimmte Formulierungen, grammatische Eigenheiten, Falschschreibungen derselben Wörter — waren über Konten hinweg geteilt, die auf unterschiedliche Länder und Spracheinstellungen registriert waren.
Warum einzelne Signale versagen
Jedes dieser Signale für sich könnte Zufall sein. Zwei Konten mit demselben TLS-Fingerprint könnten zwei Nutzer derselben Chrome-Version sein. Zwei Konten mit ähnlichen Maus-Traces könnten zwei Spieler sein, die ähnlich klicken. Zwei Auszahlungen an dieselbe Wallet könnten eine gemeinsame Familien-Wallet sein.
Die Stärke liegt in der Kombination. Wenn 217 Konten TLS-Fingerprints, Wallet-Endpunkte, Font-Templates, Bildschirmauflösungen, Mausmuster und Verhaltens-Timing teilen — kollabiert die Wahrscheinlichkeit ihrer Unabhängigkeit auf null.
Was die Plattform tat
Nach der rückwirkenden Analyse implementierte die Plattform Echtzeit-Scoring bei der Kontoerstellung. Jedes neue Konto erhielt einen Ähnlichkeits-Score gegen bestehende Konten, basierend auf den 11 Signalen plus 40 weiteren. Oberhalb des Schwellenwerts wurden Konten vor der Bonus-Berechtigung zur manuellen Prüfung markiert. Unterhalb liefen Konten normal weiter.
Innerhalb von 60 Tagen kehrte die Bonus-Missbrauchsquote auf das Ausgangsniveau zurück. Der Betreiber zog entweder zu einer anderen Plattform weiter oder investierte deutlich mehr in seine Infrastruktur — beides war ein Gewinn.
Das Muster generalisiert
Das konkrete Tooling ändert sich. Die Signale entwickeln sich weiter. Aber die zugrunde liegende Dynamik — professionelle Betrugsbetreiber, die Infrastruktur aufbauen, um Wert aus großzügigen Akquisitionsprogrammen zu ziehen — ist stabil über iGaming, Krypto-Börsen, promo-lastiges Fintech und jede Plattform hinweg, die für Nutzerakquise bezahlt.
Die einzige Abwehr, die funktioniert, ist Signalkorrelation auf Plattformebene. Perimeter-Abwehr (IP-Blocks, Geräte-Blocks, Einzelkonto-Regeln) scheitert, weil die Betreiber sich um sie herum optimieren. Signalkorrelation gelingt, weil Betreiber nicht alles günstig randomisieren können — die Kosten echter Unabhängigkeit pro Konto übersteigen die Auszahlung pro Konto.
Diese Lücke macht die Multi-Accounting-Erkennung ökonomisch tragfähig. Und sie macht daraus ein Spiel, das der Verteidiger gewinnen kann.