Banking-Betrug: Digitale Zwillinge und Trojaner bedrohen Smartphone-Zahlungen

Deutsche Bankkunden geraten zunehmend in das Visier raffinierter Cyberkrimineller. Sicherheitsbehörden und Verbraucherschützer warnen vor einer neuen Welle von Angriffen auf digitale Girokarten und Mobile-Banking-Apps. Besonders eine perfide Masche mit „digitalen Zwillingen“ sorgt aktuell für Verunsicherung.

Geister-Karten: Wenn Fremde mit Ihrem Smartphone zahlen

Die besorgniserregendste Entwicklung ist der sogenannte „Digital Twin“-Betrug. Kriminelle nutzen eine Schwachstelle im Aktivierungsprozess und hinterlegen die Girocard ihres Opfers auf dem eigenen Smartphone in Apple Pay oder Google Pay.

Das Vorgehen ist dreist: Nach dem Erlangen von Online-Banking-Daten durch Phishing lösen die Täter die Digitalisierung der Karte auf ihrem Gerät aus. Für die finale Freigabe kontaktieren sie das Opfer per Telefon. Sie geben sich als Bankmitarbeiter aus und fordern unter einem Vorwand den Bestätigungscode an. Gibt das Opfer diesen preis, ist die Karte aktiviert.

Viele Betrugsfälle starten mit Phishing und der Aktivierung digitaler Karten auf fremden Geräten. Sicherheitsforscher warnen vor Overlay-Attacken und gefälschten Bankanrufen — gerade Android-Nutzer sind betroffen. Unser kostenfreies Anti-Phishing-Paket zeigt in 4 Schritten, wie Sie Phishing-Nachrichten erkennen, sichere App-Quellen prüfen und sich gegen digitale Klone schützen. Praxisnah, verständlich und sofort umsetzbar mit Checklisten für den Alltag. Anti-Phishing-Paket kostenlos herunterladen

Das Fatale: Die physische Karte liegt weiter im Geldbeutel, während der Betrüger mit dem digitalen Klon einkauft. Der Betrug fällt oft erst beim Blick auf den Kontoauszug auf. Banken verweigern in solchen Fällen häufig die Erstattung und werfen den Kunden grobe Fahrlässigkeit vor.

Malware-Renaissance: Trojaner wie „Anatsa“ kehren zurück

Für Android-Nutzer ist die Bedrohungslage so angespannt wie lange nicht. IT-Sicherheitsfirmen warnen vor der aggressiven Rückkehr von Banking-Trojanern wie „Anatsa“ oder „Mamont“. Diese Schadprogramme zielen gezielt auf die Übernahme von Banking-Apps ab.

Die Trojaner verbreiten sich oft über scheinbar harmlose Apps in offiziellen Stores – getarnt als PDF-Reader oder QR-Code-Scanner. Einmal installiert, starten sie „Overlay-Attacken“: Sie legen beim Start der echten Banking-App ein täuschend echtes, gefälschtes Fenster darüber. So gelangen Zugangsdaten direkt zu den Angreifern.

Neuere Versionen missbrauchen zudem die Bedienungshilfen des Systems. Sie fangen sogar Zwei-Faktor-Authentifizierungs-Codes (2FA) ab, ohne dass der Nutzer es bemerkt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits erneute Warnhinweise herausgegeben.

Das Risiko: Alles auf einem Gerät

Experten sehen ein grundsätzliches Problem in der „Single Device“-Authentifizierung. Früher nutzte man einen separaten TAN-Generator, heute laufen Banking-App und TAN-App oft auf demselben Smartphone.

Sicherheitsspezialisten kritisieren, dass dies das Prinzip der Zwei-Faktor-Authentifizierung aushöhlt. Erlangt ein Angreifer die Kontrolle über das Gerät, hat er Zugriff auf beide Komponenten. Er kann die Überweisung starten und sie auf demselben Bildschirm freigeben.

Banken verweisen zwar auf Abschottung durch „App-Hardening“. Die aktuelle Malware-Welle zeigt jedoch, dass diese Schutzwälle nicht unüberwindbar sind. Besonders auf Geräten ohne aktuelle Sicherheitsupdates wird das Prinzip zum Einfallstor.

Rechtliches Minenfeld: Wer trägt die Beweislast?

Die Betrugswelle hat erhebliche rechtliche Implikationen. Verbraucherschützer kritisieren die oft einseitige Beweislastumkehr zu Lasten der Kunden. Banken gehen bei einer mit TAN oder Biometrie freigegebenen Transaktion primär von einer Autorisierung durch den Kunden aus.

Gerichte müssen zunehmend klären, ob die Sicherheitsmechanismen der Banken ausreichend waren. Ein Streitpunkt ist oft, ob die Bank hätte erkennen müssen, dass eine digitale Karte plötzlich in einer anderen Region aktiviert wurde.

Im europäischen Vergleich hinkt Deutschland bei Technologien wie verhaltensbasierter Biometrie noch hinterher. Diese könnte anhand der Tipp- und Haltegewohnheiten erkennen, ob der echte Nutzer am Gerät ist.

Ausblick: Wird die TAN bald abgelöst?

Angesichts der eskalierenden Bedrohung erwarten Analysten neuen Druck auf die Finanzindustrie. Als vielversprechender Nachfolger der TAN gilt der „Passkey“-Standard. Er basiert auf asymmetrischer Kryptografie und soll Phishing technisch nahezu unmöglich machen.

Einige Fintechs integrieren Passkeys bereits, etablierte Großbanken zögern noch. Experten rechnen damit, dass Banken ihre Betrugserkennung deutlich verschärfen werden. Für Kunden könnte das bedeuten, dass digitale Kartenaktivierungen wieder umständlicher werden – etwa durch einen Zwangsanruf beim Kundenservice. Bis dahin bleibt das Smartphone für Bankgeschäfte ein zweischneidiges Schwert.

PS: Übrigens — wenn Sie vermeiden wollen, dass Betrüger Ihre Karte digital klonen oder 2FA-Codes abfangen, hilft ein kompakter Leitfaden mit konkreten Prüfungen vor App-Installation und Telefonanrufen. Das kostenlose Anti-Phishing-Paket erklärt die 4-Schritte-Strategie gegen Phishing, gibt Checklisten für Anrufe von angeblichen Bankmitarbeitern und zeigt, welche Einstellungen Ihr Smartphone sicherer machen. Ideal für alle Bankkunden, die mobile Zahlungen regelmäßig nutzen. Jetzt Anti-Phishing-Guide sichern