Banken warnen vor neuer Welle gezielter Phishing-Angriffe

Eine massive Welle koordinierter Angriffe zielt aktuell auf Kunden deutscher Großbanken ab. Im Fokus stehen diesmal nicht nur Passwörter, sondern gezielt die Zwei-Faktor-Authentifizierungs-Apps (2FA). Verbraucherschützer und Sicherheitsbehörden meldeten in den letzten 48 Stunden einen drastischen Anstieg sogenannter „Hybrid-Angriffe“.

Der perfide „S-ID-Check“-Trick

Auslöser der jüngsten Warnstufe ist eine aggressive Phishing-Kampagne, die seit dem Wochenende beobachtet wird. Das Computer-Notfallteam der Sparkassen-Finanzgruppe und die Verbraucherzentralen haben Warnhinweise veröffentlicht.

Die Kriminellen nutzen einen tatsächlichen Umstand als Tarnung: die laufende Umstellung der Sicherheitsverfahren bei vielen Instituten. Da Banken ihre Kunden derzeit tatsächlich auf neue Apps wie „S-pushTAN“ umstellen, wirken die betrügerischen E-Mails erschreckend plausibel.

Die Betreffzeilen lauten oft:
* „Wichtige Kundeninformation: Re-Zertifizierung notwendig“
* „Bitte führen Sie die Überprüfung Ihres S-ID-Check-Zugangs durch“

Anders als bei plumpen Phishing-Versuchen sind diese Nachrichten grammatikalisch fehlerfrei und nutzen das korrekte Corporate Design. Der Link führt auf eine gefälschte Seite, die nicht nur die Online-Banking-Daten, sondern auch vollständige Kreditkarteninformationen abfragt.

MFA-Bombing: Psychoterror auf dem Smartphone

Neben klassischem Phishing registrieren Experten eine Zunahme des „MFA-Bombing“ (Multi-Factor Authentication Bombing). Diese Methode zielt speziell auf Kunden von Volksbanken und Raiffeisenbanken ab.

Das Prinzip ist perfide: Die Angreifer besitzen bereits das Passwort des Opfers, scheitern aber an der zweiten Hürde in der App. Um diese zu überwinden, lösen sie Dutzende Login-Versuche in kurzer Zeit aus. Das Smartphone vibriert ununterbrochen durch Push-Benachrichtigungen.

Das Ziel ist die „Müdigkeit“ des Nutzers. In der Hoffnung, das ständige Klingeln zu beenden, bestätigen genervte Nutzer schließlich eine der Anfragen – und gewähren den Kriminellen vollen Zugriff.

Quishing: Der gefährliche QR-Code im Briefkasten

Eine weitere besorgniserregende Entwicklung ist der Sprung vom digitalen in den analogen Raum. Unter dem Begriff „Quishing“ (QR-Code-Phishing) erhalten Bankkunden vermehrt physische Briefe per Post.

Diese Schreiben wirken hochoffiziell, tragen Logos der Hausbank und verweisen auf neue EU-Richtlinien. Der Brief enthält keine URL, sondern lediglich einen QR-Code zum Scannen.

Dieser Medienbruch ist für Sicherheitssoftware schwer zu erkennen. E-Mail-Spamfilter greifen bei physischen Briefen nicht, und viele Nutzer vertrauen einem gedruckten Schreiben mehr als einer E-Mail.

Warum Social Engineering 2026 so erfolgreich ist

Die aktuelle Erfolgswelle liegt nicht an technischen Schwächen der Banken-Apps, sondern an der Professionierung des „Social Engineering“. Die Täter greifen den Menschen als vermeintlich schwächstes Glied der Sicherheitskette an.

Branchenanalysten weisen darauf hin, dass der Einsatz von Künstlicher Intelligenz (KI) den Betrügern in die Hände spielt. KI-Modelle ermöglichen akzentfreie und kulturell angepasste Texte in deutscher Sprache, die von echter Bankkommunikation kaum zu unterscheiden sind.

Zudem nutzen die Angreifer gezielt die aktuelle Nachrichtenlage. Themen wie technische App-Umstellungen werden sofort in die Betrugs-Narrative eingebaut. Die Reaktionszeit der Kriminellen auf echte Bankankündigungen hat sich laut Beobachtungen von Wochen auf wenige Tage verkürzt.

So schützen Sie sich vor den aktuellen Maschen

Angesichts der akuten Bedrohungslage raten Verbraucherschützer und Banken zu erhöhter Wachsamkeit. Diese Grundregeln sind essenziell:

Wer sich gezielt vor Phishing, MFA-Angriffen und KI-gestützten Betrugsmaschen schützen möchte, findet in einem kostenlosen E-Book praxisnahe Schutzmaßnahmen und sofort umsetzbare Checklisten. Der Guide erklärt aktuelle Angriffsarten, zeigt einfache Schritte zum Absichern von Konten und Geräten und richtet sich an Privatkunden sowie kleine Firmen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

• Keine Freigabe ohne eigene Aktion: Bestätigen Sie niemals eine Push-Nachricht oder TAN-Anfrage, die Sie nicht in diesem Moment selbst ausgelöst haben. Unerwartete Aufforderung? Immer ablehnen.
• Medienbruch vermeiden: Banken fordern Kunden niemals per E-Mail oder SMS auf, einen Link zur „Sicherheitsüberprüfung“ anzuklicken. Loggen Sie sich immer direkt über die offizielle App oder die bekannte Webadresse ein.
• Vorsicht bei QR-Codes: Scannen Sie keine QR-Codes aus Briefen, deren Inhalt Sie unter Druck setzt. Rufen Sie im Zweifel Ihre Bank unter der Ihnen bekannten Nummer an – nicht unter der Nummer auf dem Brief.
• Sperr-Notruf nutzen: Sollten Sie Daten auf einer verdächtigen Seite eingegeben haben, kontaktieren Sie umgehend den Sperr-Notruf 116 116.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.