Cyberkriminelle nutzen MFA-Bombing gegen Bankkunden

Eine neue Angriffswelle mit der Taktik MFA-Bombing erschüttert derzeit das deutsche Mobile-Banking. Kriminelle überfluten Smartphones mit Benachrichtigungen, um die Zwei-Faktor-Authentifizierung (2FA) auszuhebeln. Verbraucherschützer und Behörden warnen vor der hochprofessionellen Phishing-Kampagne.

Die Angreifer kombinieren psychologischen Druck mit technischer Raffinesse. Im Besitz der Login-Daten starten sie Dutzende Anmeldeversuche beim Banking-Portal des Opfers. Das Resultat: Eine Flut von Push-Benachrichtigungen zur Transaktionsfreigabe landet auf dem Smartphone.

So zermürben die Täter ihre Opfer

Das Ziel ist „MFA-Müdigkeit“. Genervt von den ständigen Meldungen bestätigen viele Nutzer irgendwann eine der Anfragen – und öffnen den Betrügern damit Tür und Tor. Die Masche wird oft durch einen gefälschten Anruf eines angeblichen Bankmitarbeiters perfektioniert.

Unter dem Vorwand, einen Systemfehler zu beheben, überreden die Kriminellen ihre Opfer zu weiteren Freigaben. In Wirklichkeit autorisieren die Betroffenen so die Einrichtung einer digitalen Bankkarte auf einem fremden Gerät. Besonders im Fokus stehen aktuell Kunden großer deutscher Institute wie der Deutschen Bank, DKB, Volksbanken und Sparkassen.

Banking-Trojaner und Spionage-Software im Anmarsch

Parallel zu den Phishing-Angriffen grassieren spezialisierte Schadprogramme. Beim „Bank-Viren-Trick“ überreden Täter am Telefon zur Installation einer angeblichen Sicherheitssoftware. Tatsächlich handelt es sich um Banking-Trojaner wie „Anatsa“.

Diese Malware kann nach der Installation:
* PINs und TANs ausspähen
* die Android-Bedienungshilfen missbrauchen
* eigenständig Überweisungen auslösen und bestätigen

Gefährliche Apps schleusen sich oft als harmlose PDF-Reader oder QR-Scanner in den Google Play Store ein. Zudem wird der Markt für Spionage-Tools immer zugänglicher. Ein kürzlich beworbenes Programm namens „ZeroDayRAT“ verspricht Cyberkriminellen die vollständige Fernkontrolle über kompromittierte Smartphones – inklusive des Abfangens von 2FA-Codes.

So schützen Sie sich vor den Angriffen

Experten raten zu einer strikten „Zero Trust“-Haltung bei jeder unaufgeforderten Kontaktaufnahme. Ihre Bank wird Sie niemals per E-Mail, SMS oder Telefon nach Passwörtern oder TANs fragen.

Diese Basismaßnahmen sind essenziell:
* Nutzen Sie starke, einzigartige Passwörter für jedes Konto – ein Passwort-Manager hilft.
* Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA). Authenticator-Apps sind sicherer als SMS-TANs.
* Halten Sie Betriebssystem und Apps immer aktuell.
* Laden Sie Apps ausschließlich aus den offiziellen Stores.
* Führen Sie Bankgeschäfte nie in öffentlichen WLANs durch.

Wer sich jetzt gezielt gegen Phishing‑Wellen und Banking‑Trojaner wappnen möchte, findet im kostenlosen E‑Book „Cyber Security Awareness Trends“ praxisnahe Hinweise. Der Leitfaden erklärt verständlich, welche Angriffsmethoden aktuell genutzt werden und welche einfachen, sofort umsetzbaren Schutzmaßnahmen (von Phishing‑Erkennung bis Update‑Strategien) helfen – auch für Privatnutzer und kleine Unternehmen. Jetzt kostenloses Cyber‑Security‑E‑Book herunterladen

Warum Deutschland im Visier steht

Die gezielte Attacke ist kein Zufall. Deutschland war im vergangenen Jahr das zweitbeliebteste Ziel für Phishing-Angriffe weltweit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit Jahresbeginn vor der steigenden Professionalität der Betrüger.

Die Fälschungen sind mittlerweile so gut, dass sie auf dem Smartphone-Display kaum von echten Banknachrichten zu unterscheiden sind. Kriminelle nutzen gezielt Abende und Wochenende für ihre Attacken, wenn viele Banken nicht rund um die Uhr erreichbar sind.

Passkeys sollen die Lösung bringen

Als Antwort auf die Bedrohung setzt die Finanzbranche auf Passkeys. Diese auf dem FIDO2-Standard basierende Technologie gilt als „phishing-resistent“. Ein privater kryptografischer Schlüssel verbleibt sicher auf dem Smartphone und wird per Fingerabdruck oder Gesichtsscan freigegeben.

Passwörter werden bei der Anmeldung nicht mehr übertragen – und können so auch nicht gestohlen werden. Die Umstellung wird jedoch Jahre dauern. Banken werden die Technologie schrittweise als zusätzliche Option einführen. Bis dahin bleiben Wachsamkeit und grundlegende Sicherheitsmaßnahmen die beste Verteidigung.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.