Zum Hauptinhalt springen
Didit erhält 7,5 Mio. $ für die Infrastruktur für Identität und Betrug
Didit
Zurück zum Blog
Blog · 21. Mai 2026

So eröffnen Betrüger Bankkonten – und wie man sie stoppt (DE)

Gestohlene Identitäten, synthetische Identitäten, Deepfake-Liveness-Angriffe, Anwerben von Finanzagenten, Geräteverschleierung – hier ist das genaue Vorgehen von Betrügern, um Bankkonten zu eröffnen, und die Kontrollen, die.

Von DiditAktualisiert
how-fraudsters-open-bank-accounts.png

Jedes betrügerische Bankkonto beginnt beim Onboarding. Bis Betrugsanalysten den Schaden sehen – die unautorisierten Überweisungen, die gewaschenen Gelder, die Kreditlinie, die gegen eine gefälschte Identität gezogen wurde – hat das Konto KYC bereits bestanden. Die Ausnutzung geschah, bevor der Kunde existierte.

Dieser Beitrag schlüsselt das Vorgehen von Betrügern Schritt für Schritt auf und ordnet jede Technik der Kontrolle zu, die sie stoppt.

Wichtige Erkenntnisse

  • Betrug bei der Kontoeröffnung läuft in fünf überlappenden Phasen ab: Identitätserwerb, Dokumentenerstellung, Umgehung der Lebendigkeitsprüfung, Geräte- und Netzwerkverschleierung und Aktivierung von Finanzagenten nach der Eröffnung.
  • Jede Phase hat eine spezifische technische Gegenmaßnahme. Das Flicken einer ohne die anderen ist das, wonach Betrüger suchen.
  • Der grundlegende KYC-Kernfluss – ID-Verifizierung + Passive Liveness + Face Match 1:1 + Geräte- & IP-Analyse – schließt die gängigsten Vektoren für 0,33 $ pro Prüfung.
  • AML-Screening erfasst Finanzagenten-Identitäten, die Dokumentenprüfungen bestanden haben, weil der Ausweis echt war; die Person wurde angeworben, nicht erfunden.
  • Geräte- & IP-Analyse deckt Betrugsringe durch DUPLICATED_DEVICE_FINGERPRINT und DEVICE_RECOVERED_HIGH_CONFIDENCE auf – die Signale, die erscheinen, wenn ein Betreiber viele Onboarding-Sitzungen von einem gemeinsamen Pool von Maschinen aus durchführt.

Phase 1: Identitätserwerb

Bevor ein Betrüger Ihren Onboarding-Flow berührt, benötigt er einen Namen, ein Geburtsdatum und eine Dokumentennummer, die eine Datenbankprüfung bestehen. Es gibt drei Wege, dies zu erhalten.

Gestohlene Identitäten sind der häufigste Ausgangspunkt. Datenlecks, Phishing und Dark-Web-Märkte verschaffen Betrügern Zugang zu echten Namen, Adressen, ID-Nummern und manchmal Scans des Originaldokuments – das meiste, was ein KYC-Flow verlangt.

Synthetische Identitäten kombinieren reale und erfundene Elemente – eine echte Sozialversicherungsnummer (oder nationale ID-Nummer) gepaart mit einem erfundenen Namen und Geburtsdatum. Da die ID-Nummer gültig ist, bestehen Format- und Prüfsummenprüfungen. Synthetischer Betrug ist besonders kostspielig im Kreditbereich, da er eine Historie aufbaut, bevor er ausgezahlt wird.

Identity-as-a-service ist die organisierte Version: Kriminelle Netzwerke verkaufen komplette Kits – gealterte Dokumentenbilder, Stromrechnungen und Anweisungen für den spezifischen Onboarding-Flow, den sie bereits getestet haben.

Was es stoppt: Dokumentenverifizierung über Formatprüfungen hinaus – OCR über 14.000+ Dokumentenvorlagen, MRZ- und Barcode-Parsing, NFC-Chip-Lesen – kombiniert mit Datenbankvalidierung gegen staatliche Register. Gestohlene echte IDs und gefälschte synthetische IDs hinterlassen in dieser Schicht unterschiedliche Signaturen.

Phase 2: Dokumentenfälschung und -manipulation

Eine gestohlene ID-Nummer ist nutzlos ohne ein passendes Bild. Betrüger erstellen Dokumente auf drei Arten.

Vorlagenbearbeitung ist der Einstieg: Kauf eines hochauflösenden Scans eines legitimen Dokuments und Ersetzen des Fotos und der Daten in einem Betrugstool. Billige Fälschungen sind offensichtlich; gut produzierte erfordern trainierte ML-Modelle, um sie zu erkennen.

Gedruckte und neu fotografierte Dokumente umgehen einige Abwehrmaßnahmen zur Erkennung von Injektionen. Der Betrüger druckt das gefälschte Dokument, fotografiert es bei guter Beleuchtung und reicht das Ergebnis ein – um die physikalischen Artefakte (Korn, Schatten, Reflexion) einzuführen, die Dokumentenklassifikatoren von einer echten Aufnahme erwarten.

KI-generierte Dokumente sind ein aufkommender Vektor: generative Modelle, die synthetische Dokumentenbilder erzeugen, die realistisch genug sind, um menschliche Prüfer zu täuschen.

Was es stoppt: Lebendigkeitsanalyse von Dokumenten (Erkennung flacher/gedruckter Oberflächen), Mehrbild-Konsistenzprüfungen und ML-Klassifikatoren, die auf Betrugsmuster trainiert sind. Das Auslesen von NFC-Chips ist die schwierigste Gegenmaßnahme – wenn der Chip kryptografisch validiert, ist das Dokument echt.

Phase 3: Umgehung der Lebendigkeitsprüfung – Biometrie austricksen

Ein Betrüger mit einem gefälschten Dokument muss immer noch das Gesicht anpassen. Angriffe erfolgen in zwei Formen.

Präsentationsangriffe: ein gedrucktes Foto, ein Video auf einem zweiten Telefon oder eine 3D-Maske, die vor die Kamera gehalten wird. Moderne Lebendigkeitsmodelle sind nach iBeta PAD Level 1 zertifiziert, um dies zu verhindern.

Digitale Injektionsangriffe überspringen die Kamera vollständig. Der Betrüger injiziert einen synthetischen Videostream mithilfe von virtueller Kamerasoftware oder Browser-API-Overrides. Ein Deepfake-Gesicht – animiert zum Blinzeln und Verfolgen auf Befehl – wird dem Lebendigkeitsmodell so präsentiert, als käme es von einer echten Kamera. Keine physische Umgebung erforderlich, und es skaliert programmatisch. Gegenmaßnahmen umfassen die Erkennung von virtuellen Kameratreibern, Deepfake-Klassifikatoren auf Frame-Ebene und API-Abfangprüfungen.

Was es stoppt: Passive Liveness (0,10 $) mit einer Inferenzzeit von unter 2 Sekunden und über 200 Betrugssignalen, gepaart mit Face Match 1:1 (0,05 $), das das Live-Gesicht mit dem Dokumentenporträt abgleicht.

Phase 4: Geräte- und Netzwerkverschleierung

Ein Betrugsring, der Dutzende von Konten betreibt, kann dies nicht von einer einzigen IP und einer einzigen Maschine aus tun. Das operative Muster: IPs über VPNs, Proxys oder Tor rotieren; Anti-Detect-Browser verwenden, die Fingerprint-Signale randomisieren; Sitzungen von virtuellen Maschinen oder Emulatoren ausführen. Das Ziel ist es, für jede Sitzung wie eine andere Person an einem anderen Ort auszusehen. Das Indiz ist, dass die zugrunde liegende Hardware- und Netzwerkinfrastruktur wiederverwendet wird.

Was es stoppt: Geräte- & IP-Analyse (0,03 $), die automatisch in jeder Sitzung läuft. Sie erfasst einen stabilen Geräte-Fingerprint aus GPU-Signalen, Browser-Build, Canvas-Rendering und Hardware-Attributen und gleicht ihn dann mit allen früheren Sitzungen ab. Sie reichert auch die Verbindung an: VPN- und Proxy-Erkennung, Tor- und Datacenter-Exit-Node-Erkennung, Länder-vs.-Dokument-Konsistenz.

Die zwei Warnungen, die für die Ring-Erkennung am wichtigsten sind:

  • DUPLICATED_DEVICE_FINGERPRINT – derselbe persistente Fingerprint erschien unter einer anderen Identität in einer früheren Sitzung.
  • DEVICE_RECOVERED_HIGH_CONFIDENCE – die persistente ID hat sich geändert (Speicher gelöscht, Inkognito, Neuinstallation), aber das v2-Wiederherstellungsmodell hat das Gerät trotzdem abgeglichen.

Beide sind konfigurierbar: Überprüfung, harte Ablehnung oder Genehmigung mit einem Flag.

Phase 5: Anwerben und Aktivierung von Finanzagenten

Nicht jedes betrügerische Konto gehört einem Identitätsdieb. Ein großer Teil wird von echten Personen mit echten Dokumenten eröffnet – angeworbene Finanzagenten, denen gesagt wurde, sie würden eine Provision für den Empfang und die Weiterleitung von Geldern verdienen. Die KYC-Dokumente sind echt. Der Betrug liegt in dem, was sie zugestimmt haben zu tun.

Finanzagenten sind oft mit kriminellen Organisationen verbunden, die auf Sanktions-, PEP- (Politically Exposed Person), Adverse-Media- oder Strafverfolgungs-Beobachtungslisten erscheinen. Das Durchführen von AML-Screening (0,20 $, über 1.300 Listen) beim Onboarding erfasst bekannte Finanzagenten-Netzwerkmitglieder, bevor sie zu aktiven Konten werden. Das fortlaufende AML-Monitoring (0,07 $/Nutzer/Jahr) überprüft sie erneut, wenn Listen aktualisiert werden.

Was es stoppt: AML-Screening beim Onboarding plus fortlaufendes Monitoring – bekannte Akteure und neue Netzwerkmitglieder, die nach dem Onboarding hinzugefügt werden.

Wie Didit hilft

Jede der fünf oben genannten Phasen entspricht direkt einem Modul im KYC-Kernfluss.

Das Basispaket – ID-Verifizierung + Passive Liveness + Face Match 1:1 + Geräte- & IP-Analyse – läuft als einzelne Sitzung für 0,33 $ und deckt die Phasen 2–4 ab. Das Hinzufügen von AML-Screening (0,20 $) erweitert die Abdeckung auf die Anwerbung von Finanzagenten (Phase 5). Alle Module laufen nacheinander; das Ergebnis landet in einer Entscheidungs-Payload.

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "user-123",
    "callback": "https://yourapp.com/post-kyc"
  }'

Die Sitzungs-URL geht an den Benutzer. Die Entscheidung kommt per Webhook (session.status.updated) oder GET /v3/session/{sessionId}/decision/ zurück.

Didit ist der einzige Identitätsanbieter, der von einer EU-Mitgliedsstaatsregierung (Spaniens Tesoro / Banco de España / SEPBLAC) formell als sicherer als die persönliche Verifizierung attestiert wurde. 500 kostenlose Verifizierungen pro Monat, keine Mindestmengen.

Anwendungsfälle

Neobank-Kontoeröffnung – der 0,33 $ Kernfluss bewältigt die Hauptangriffsfläche. Fügen Sie AML-Screening für regulatorische Anforderungen und die Erkennung von Finanzagenten hinzu.

Kredit und Darlehen – Betrug mit synthetischen Identitäten ist hier am höchsten, da die Nutzlast eine Kreditlinie ist. Das Lesen von NFC-Chips sorgt für kryptografische Sicherheit, dass das Dokument echt ist.

Onboarding an Kryptobörsen – Wallet Screening (0,15 $/Prüfung oder 0,02 $ BYOK) erweitert die Abdeckung auf die Krypto-Betrugsfläche nach KYC.

Häufig gestellte Fragen

Was ist die gängigste Methode, die Betrüger verwenden, um Bankkonten zu eröffnen?

Gestohlene Ausweisdokumente in Kombination mit Geräteverschleierung. Der Betrüger verwendet echte PII und ein gefälschtes Dokumentenbild und leitet dann Sitzungen über VPNs oder Anti-Detect-Browser. Die Dokumentenverifizierung erkennt das gefälschte Bild; die Geräte- & IP-Analyse erkennt die Infrastruktur.

Was bedeutet DUPLICATED_DEVICE_FINGERPRINT in der Praxis?

Derselbe persistente Geräte-Fingerprint erschien unter einer anderen Identität in einer früheren Sitzung – ein starkes Signal für Mehrfachkonten oder Finanzagenten-Farmen. Sie konfigurieren die Antwort gemäß Ihrer Richtlinie: überprüfen, hart ablehnen oder zur manuellen Untersuchung kennzeichnen.

Wie viel kostet ein vollständiger betrugssicherer Onboarding-Flow?

Der KYC-Kernfluss kostet 0,33 $. Das Hinzufügen von AML-Screening erhöht ihn auf 0,53 $. 500 kostenlose Verifizierungen pro Monat; keine Mindestmengen.

Bereit zum Start?

Betrug bei der Kontoeröffnung ist auf Infrastrukturebene vermeidbar – bevor ein Konto existiert, bevor Gelder bewegt werden, bevor der Betrugsanalyst involviert ist.

Infrastruktur für Identität und Betrugsprävention.

Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.

Kostenlos startenKontaktiere uns
Lass dir diese Seite von einer KI zusammenfassen
So eröffnen Betrüger Bankkonten | Didit.