Bankkunden im Visier massiver Spoofing-Angriffe

Deutsche Bankkunden erleben eine beispiellose Welle raffinierter Telefonbetrügereien. Kriminelle nutzen das sogenannte Call-ID-Spoofing in nie gekanntem Ausmaß, um sich als Bankmitarbeiter, Polizisten oder Verbraucherschützer auszugeben. Die Lage ist so ernst, dass BaFin, Polizei und Verbraucherzentralen in dieser Woche offizielle Warnungen herausgeben mussten.

Zweistufige Attacken täuschen selbst Versierte

Die Betrüger setzen auf eine ausgeklügelte, zweistufige Taktik. Der Angriff beginnt meist mit einer gefälschten SMS oder E-Mail – dem sogenannten Smishing oder Phishing. Darin werden Kunden zu dringenden Datenaktualisierungen aufgefordert oder vor angeblichen Kontobewegungen gewarnt.

Wer auf den Link klickt, landet auf einer täuschend echten Fake-Website der Bank. Geben die Opfer dort ihre Login-Daten ein, folgt Phase zwei: Ein Telefonanruf. Durch Call-ID-Spoofing erscheint exakt die Nummer der Bankfiliale oder des Kundenservice. Die angeblichen Sicherheitsexperten behaupten, eine betrügerische Transaktion stoppen zu müssen. In Wahrheit loggen sich die Täter mit den gestohlenen Daten ein und drängen das Opfer zur Freigabe via pushTAN.

Da Banking-Apps und sensible Daten auf dem Smartphone immer häufiger ins Visier von Kriminellen geraten, ist ein proaktiver Geräteschutz unerlässlich. Dieser Gratis-Ratgeber zeigt Ihnen, wie Sie Ihr Android-Gerät mit einfachen Schritt-für-Schritt-Anleitungen effektiv vor Datendieben schützen. 5 Sicherheitsmaßnahmen für Ihr Smartphone jetzt kostenlos herunterladen

BaFin warnt gezielt vor Angriffen auf Online-Broker

Die Finanzaufsicht schlägt Alarm: Die Betrüger haben ihr Zielpublikum erweitert. Eine aktuelle Warnung der BaFin richtet sich explizit an Kunden von Online-Brokern wie Trade Republic. Auch hier fälschen die Kriminellen die Unternehmensrufnummer.

Die falschen Mitarbeiter behaupten, es habe einen unbefugten Zugriff auf Depot oder Verrechnungskonto gegeben. Um das Vermögen zu schützen, sollen Kunden ihr Geld umgehend auf ein angebliches Sicherheitskonto oder eine Krypto-Wallet überweisen. Die BaFin stellt klar: Die auf dem Display angezeigte Rufnummer bietet heute keinerlei Identitätsgarantie mehr.

Verbraucherschützer selbst im Visier der Kriminellen

Das Phishing-Radar der Verbraucherzentralen verzeichnet im März zahlreiche neue Einträge. Betroffen sind Kunden fast aller großen Institute – von Volksbanken über die apoBank bis zu PayPal. Die Täter setzen auf extrem kurze Fristen, um Druck aufzubauen.

Besonders dreist: Kriminelle fälschen inzwischen sogar die Rufnummern der Verbraucherzentralen selbst. Unter dem Vorwand, vor Datenlecks schützen zu wollen, versuchen sie, persönliche Informationen abzugreifen. Die echten Verbraucherschützer betonen: Sie rufen niemals unaufgefordert an.

Ob beim Online-Shopping oder bei der Nutzung von Finanz-Diensten – oft entscheiden kleine Einstellungen über die Sicherheit Ihrer persönlichen Informationen. Erfahren Sie in diesem kompakten Leitfaden, welche fünf Maßnahmen Ihr Smartphone sofort spürbar sicherer machen und eine häufig unterschätzte Sicherheitslücke schließen. Kostenloses Android-Sicherheitspaket jetzt anfordern

Bei Erfolg drohen hohe Eigenanteile für Opfer

Gelingt der Betrug, stehen die Geschädigten vor komplexen juristischen Fragen. Banken müssen unautorisierte Zahlungen zwar grundsätzlich erstatten. Dieser Anspruch entfällt jedoch bei grober Fahrlässigkeit des Kunden.

Ein Urteil des Oberlandesgerichts Dresden von Mai 2025 zeigt die Risiken. Ein Kunde hatte mehrere pushTAN-Anfragen am Telefon bestätigt, ohne die Details in der App zu prüfen. Das Gericht wertete dies als grob fahrlässig – der Kunde musste 80 Prozent des Schadens selbst tragen. Verbraucherschützer raten bei Verdacht sofort zur Sperrung über die 116 116 und zur Strafanzeige.

Ein Wettlauf ohne absehbares Ende

Die Angriffe zeigen: Der Kampf zwischen Cyberkriminellen und Finanzbranche tobt unvermindert. Während Banken ihre Sicherheitssysteme mit maschinellem Lernen aufrüsten, passen die Täter ihre psychologischen Tricks an. Da technische Hürden wie der verpflichtende IBAN-Namensabgleich direkte Überweisungsfehler reduzieren, konzentrieren sie sich vollends auf die Manipulation des Menschen.

Branchenbeobachter erwarten, dass künftig auch KI zur Stimmensimulation bei Betrugsanrufen eingesetzt wird. Die Grundregel bleibt daher entscheidend: Kein seriöses Unternehmen und keine Behörde verlangt jemals am Telefon die Freigabe von Transaktionen, Passwörter oder Überweisungen auf Sicherheitskonten.