Cyberkriminelle starten Hybrid-Attacken auf Banking-Apps

Verbraucherschützer und Sicherheitsexperten schlagen Alarm: Eine neue Welle raffinierter Hybrid-Attacken zielt auf Nutzer von Mobile-Banking-Apps. Die Angreifer kombinieren psychologische Tricks mit Schadsoftware, um Konten zu plündern. Ihre Methoden werden immer ausgefeilter und umgehen moderne Sicherheitsvorkehrungen.

Social Engineering trifft auf Schadsoftware

Experten beobachten derzeit eine besorgniserregende Zunahme dieser kombinierten Angriffe. Sie beginnen oft mit einer sorgfältig inszenierten Täuschung, dem Social Engineering. Täter locken Opfer beispielsweise über Verkaufsplattformen in die Falle. Unter dem Vorwand einer sicheren Zahlung erhalten die Nutzer einen Link zu einer gefälschten Banken-Website.

Die eigentliche Gefahr liegt in der Kombination mit Schadsoftware. Sobald die Opfer ihre Daten eingeben, können automatisierte Skripte im Hintergrund sofort Überweisungen auslösen. Das Opfer autorisiert diese Transaktion oft fälschlicherweise als Empfangsbestätigung.

Phishing‑SMS und gefälschte Login‑Seiten sind die gängigsten Einstiegstore für solche Hybrid‑Angriffe. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie gefälschte Links erkennen, schädliche Anhänge vermeiden und im Ernstfall schnell reagieren – inklusive Praxis‑Checks für SMS, Messenger und fingierte Bankseiten. Besonders für Smartphone‑Nutzer: einfache Maßnahmen, um gefährliche Apps und Links zu entlarven. Jetzt Anti‑Phishing‑Paket herunterladen

Vom harmlosen Download zum Banking-Trojaner

Ein typischer Angriff verläuft in mehreren Phasen. Zunächst lockt eine Phishing-Nachricht per SMS oder Messenger auf eine gefälschte Login-Seite. In einer weiterentwickelten Form wird das Opfer zur Installation einer scheinbar harmlosen App verleitet – etwa eines PDF-Readers aus dem offiziellen Play Store.

Diese Apps, sogenannte „Dropper“, enthalten zunächst keinen Schadcode. Erst ein späteres Update spielt den eigentlichen Banking-Trojaner wie „Anatsa“ auf das Gerät. Einmal aktiv, kann die Malware Bildschirminhalte aufzeichnen, Tastatureingaben protokollieren und sogar Zwei-Faktor-Authentifizierungscodes abfangen.

„Ghost Tap“: Die unsichtbare NFC-Attacke

Eine besonders alarmierende Weiterentwicklung ist der „Ghost Tap“. Dabei kapert eine Schadsoftware auf dem Android-Smartphone die NFC-Schnittstelle. Die Malware kann dann die Daten einer physischen Bankkarte in der Nähe in Echtzeit an ein Gerät der Kriminellen weiterleiten.

Dieses zweite Gerät wird an einem echten Zahlungsterminal verwendet. Für die Bank erscheint die Transaktion legitim, da sie vom Gerät des Opfers initiiert zu werden scheint. Dieser Angriff zeigt, wie physische und digitale Betrugsmethoden verschmelzen.

Professionelle Täter und komplexe Kampagnen

Die Zunahme der Hybrid-Attacken spiegelt die wachsende Professionalität der Cyberkriminellen wider. Sie orchestrieren komplexe, mehrstufige Kampagnen statt sich auf eine Methode zu verlassen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt wiederholt vor der steigenden Raffinesse.

Die Täter nutzen aus, dass viele Nutzer ihren Smartphones vertrauen. Indem die Malware direkt auf dem Opfergerät operiert, werden Sicherheitsmaßnahmen wie „Device-Fingerprinting“ umgangen. Experten sehen einen klaren Trend zu Malware, die verschiedene Angriffsarten mischt – etwa Banking-Trojaner mit Erpressungssoftware.

So schützen Sie sich vor den Hybrid-Angriffen

Sicherheitsexperten raten Verbrauchern zu erhöhter Wachsamkeit. Folgende Maßnahmen sind entscheidend:

• Misstrauen bei unaufgeforderten Nachrichten: Klicken Sie nie auf Links in E-Mails oder SMS, die zur Eingabe von Bankdaten auffordern.
• Apps nur aus vertrauenswürdigen Quellen: Installieren Sie Anwendungen ausschließlich aus offiziellen App-Stores und prüfen Sie Berechtigungen kritisch.
• Regelmäßige Updates: Halten Sie das Smartphone-Betriebssystem und alle Apps stets aktuell.
• NFC-Funktion kontrollieren: Deaktivieren Sie NFC, wenn Sie es nicht aktiv nutzen, um „Ghost Tap“-Angriffe zu verhindern.
• Starke Zwei-Faktor-Authentifizierung: Nutzen Sie, wo möglich, 2FA-Methoden, die nicht auf SMS basieren, sondern auf Authenticator-Apps.

Bei Verdacht auf einen Angriff sollten Betroffene umgehend ihre Bank kontaktieren, den Online-Banking-Zugang sperren und Anzeige bei der Polizei erstatten.

PS: Wussten Sie, dass viele Social‑Engineering‑Tricks nur wenige einfache Prüfungen benötigen, um entlarvt zu werden? Das kostenlose Anti‑Phishing‑Paket liefert einen kompakten Check‑Katalog und praxisnahe Beispiele – von SMS‑Phishing bis zu gefälschten Zahlungsaufforderungen – damit Sie Ihr Smartphone und Ihre Konten effektiv schützen. Holen Sie sich die Schritt‑für‑Schritt‑Anleitung. Anti‑Phishing‑Guide gratis herunterladen