Fake-Mobilfunkmasten: Neue Phishing-Welle bedroht Smartphones

Behörden zerschlagen kriminelles Netzwerk in Malaysia, das mit gefälschten Sendemasten SMS-Betrug in neuem Maßstab ermöglichte. Die Technologie umgeht herkömmliche Sicherheitsbarrieren und stellt eine globale Bedrohung dar.

In einem Schlag gegen hochmoderne Mobilfunk-Betrugsmethoden haben Behörden in Malaysia eine kriminelle Operation ausgehoben. Die Täter nutzten einen gefälschten Mobilfunkmasten, um massenhaft betrügerische SMS an ahnungslose Opfer zu versenden. Der Vorfall, der diese Woche aufgedeckt wurde, markiert eine gefährliche Evolution der Phishing-Methoden. Kriminelle bauen eigene, illegale Mobilfunknetze auf, um traditionelle Sicherheitsvorkehrungen zu umgehen.

Die malaysische Kommunikationsbehörde MCMC meldete am 2. Februar 2026 die Zerschlagung des Betrugsrings in Genting. Die Täter hatten Fahrzeuge mit gefälschter BTS-Hardware (Base Transceiver Station) ausgestattet. Diese fingen legitime Telekommunikationsdienste ab und unterbrachen sie. So konnten sie Betrugs-SMS direkt an alle Handys in der Umgebung senden. Bei der Razzia beschlagnahmten die Ermittler die gefälschte Sendehardware und Steuergeräte. Der Vorfall zeigt die wachsende Gefahr durch hardwarebasiertes Phishing, das tückischer und schwerer zu verfolgen ist als herkömmliche E-Mail- oder SMS-Betrügereien.

Gefälschte Funkmasten und abgefangene SMS – wie im aktuellen Fall in Malaysia – offenbaren eine hochriskante Schwachstelle, die Kunden, Mitarbeiter und IT-Infrastrukturen angreift. Das kostenlose Anti-Phishing-Paket bietet eine klare 4‑Schritte-Anleitung, mit der Sie Phishing-Muster erkennen, technische Schutzmaßnahmen umsetzen und Mitarbeitende gezielt schulen, damit Angriffe nicht zum Datenverlust führen. Praktische Checklisten und sofort anwendbare Maßnahmen helfen, Risiken schnell zu reduzieren. Anti-Phishing-Paket jetzt herunterladen

So funktionieren die Attacken mit gefälschten Funkmasten

Im Zentrum dieser Bedrohung steht ein Gerät, das als IMSI-Catcher bekannt ist – umgangssprachlich auch „Stingray“ oder gefälschter Funkmast. Diese Geräte imitieren einen legitimen Mobilfunkmast. Smartphones in einem Gebiet wählen automatisch das stärkste verfügbare Signal. Ein naher, gefälschter Mast kann das Signal eines echten Turms leicht überstrahlen. Sobald ein Handy mit der betrügerischen Station verbunden ist, können die Kriminellen einen „Man-in-the-Middle“-Angriff starten.

Eine entscheidende Schwachstelle, die ausgenutzt wird: Die Geräte können die Verbindung eines Handys von sicheren 4G- oder 5G-Netzen auf das ältere, unsichere 2G-Protokoll herabstufen. Das 2G-Netz hat bekannte Sicherheitslücken, die es Angreifern erleichtern, Kommunikation und Datenverkehr abzufangen. Nach dieser Herabstufung kann der gefälschte Mast SMS versenden, die von vertrauenswürdigen Absendern wie Banken, Behörden oder Dienstleistern zu stammen scheinen – eine Technik, die als Spoofing bekannt ist. Da diese Nachrichten scheinbar von einem legitimen Funkmast kommen, umgehen sie oft die Spam-Filter der Mobilfunkanbieter.

Der Inhalt dieser Nachrichten erzeugt gezielt Dringlichkeit. Oft wird vor ablaufenden Bonuspunkten, kompromittierten Konten oder ausstehenden Lieferungen gewarnt. Das Ziel: Der Empfänger soll auf einen schadhaften Link klicken, der zu einer Phishing-Website führt. Dort werden sensible persönliche Daten wie Bankzugänge, Passwörter oder Kreditkartendetails abgegriffen.

Ein globales Problem: Der Kontext der Identitätsbetrügereien

Der Einsatz gefälschter Funkmasten ist Teil eines besorgniserregenden Trend s bei Identitätsbetrug. Weltweit warnen Strafverfolgungsbehörden vor immer raffinierteren Methoden. Kürzlich warnte die Polizei in Ontario, Kanada, vor einem Betrug, bei dem Täter Polizisten imitieren. Mit gefälschten Namen und Dienstausweisnummern überreden sie Opfer, hohe Geldsummen abzuheben und zu überweisen – teilweise in Kryptowährung. Die Schäden lagen pro Fall zwischen 6.000 und 13.000 Euro.

Auch in Australien warnten Behörden vor Betrügern, die sich als Mitarbeiter der Bundespolizei (AFP) ausgeben. Im Zuge einer angeblichen „Operation Firestorm“ täuschten sie Datenlecks vor und brachten Opfer dazu, Kryptowährung zu überweisen, um ihre Konten zu „sichern“. Diese Kriminellen setzen auf cleveres Social Engineering, um Panik zu erzeugen und ihre Opfer zu überstürzten Entscheidungen zu drängen. Das FBI verwies kürzlich auf die internationale Dimension: Betrugsanrufe, die US-Bürger targetieren, stammen oft aus Callcentern in Indien und verursachen Schäden in zig Millionen Dollar.

Diese verschiedenen Betrugsmaschen – von Anrufen bis zu hochtechnischen SMS-Angriffen – unterstreichen die kritische Notwendigkeit öffentlicher Wachsamkeit. Betrüger fälschen authentische Rufnummern und nutzen Informationen über ihre Opfer, um glaubwürdig zu wirken. Echte und betrügerische Kommunikation sind so kaum noch zu unterscheiden.

So können Sie sich schützen

Angesichts der Täuschung ist öffentliche Aufklärung die wirksamste Verteidigungslinie. Sicherheitsexperten und Behörden raten zu gesunder Skepsis bei allen unaufgeforderten Nachrichten, besonders bei solchen, die dringendes Handeln fordern oder persönliche Daten abfragen.

Zu den wichtigsten Schutzmaßnahmen gehören:
* Keine verdächtigen Links anklicken: Klicken Sie nicht auf Links in SMS, besonders bei unerwarteten Nachrichten. Rufen Sie stattdessen die offizielle Website der Institution direkt auf oder kontaktieren Sie sie über eine verifizierte Telefonnummer.
* Vorsicht bei Dringlichkeits-Appellen: Nachrichten, die mit Kontoschließung drohen, einen Gewinn versprechen oder vor dem Ablauf von Punkten warnen, sind gängige Druckmittel.
* Die Quelle prüfen: Vertrauen Sie einer Nachricht nicht blind, nur weil die Absenderkennung offiziell aussieht. Betrüger können diese mit Fake-BTS-Technologie leicht fälschen.
* Zwei-Faktor-Authentifizierung (2FA) nutzen: Aktivieren Sie 2FA für alle sensiblen Konten. Obwohl fortschrittliche Fake-BTS-Angriffe SMS-basierte Einmalpasswörter abfangen können, bieten App-basierte Authentikatoren oder physische Sicherheitsschlüssel einen viel stärkeren Schutz.
* Verdächtige Nachrichten melden: Melden Sie Phishing-Versuche bei Ihrem Mobilfunkanbieter oder den zuständigen Behörden. Das hilft bei der Verfolgung der kriminellen Aktivitäten.

Ausblick: Eine sich wandelnde Herausforderung

Die jüngste Maßnahme der MCMC ist ein positiver Schritt, doch die Bedrohung durch gefälschte Funkmasten ist nicht gebannt. Die Hardware für diese Geräte wird immer zugänglicher. Solange das anfällige 2G-Netz in Betrieb bleibt, werden Kriminelle es ausnutzen. Die Strafen sind zwar drakonisch – in Malaysia drohen bis zu eine Million Ringgit Strafe und bis zu zehn Jahre Haft –, doch die hohen potenziellen Gewinne halten die Bedrohung am Leben.

Da Cyberkriminelle ihre Methoden verfeinern und oft KI und Bots für überzeugendere Betrugsmaschen einsetzen, wächst die Herausforderung für Strafverfolgung und Cybersicherheit. Für die Öffentlichkeit gilt: Wachsamkeit und ein vorsichtiger Umgang mit digitaler Kommunikation sind wichtiger denn je. Behörden und Telekommunikationsunternehmen müssen weiter zusammenarbeiten, um die Netzwerksicherheit zu verbessern und entschlossen gegen die Täter vorzugehen.

PS: Sie möchten sich sofort schützen? Der gratis Report erklärt praxisnah, wie Sie SMS- und E‑Mail‑Phishing erkennen, welche technischen Gegenmaßnahmen sinnvoll sind und wie Sie Mitarbeitende richtig schulen. Außerdem enthält das Paket Vorlagen für interne Warnungen und klare Handlungsschritte, die Sie sofort umsetzen können – ideal für kleine Unternehmen und Selbstständige. Jetzt Anti-Phishing-Paket sichern