Phishing-Welle, Bankkunden

Phishing-Welle trifft deutsche Bankkunden im Weihnachtsgeschäft

06.12.2025 - 00:11:12

Phishing-Welle trifft deutsche Bankkunden im Weihnachtsgeschäft - Foto: über boerse-global.de
Phishing-Welle trifft deutsche Bankkunden im Weihnachtsgeschäft - Foto: über boerse-global.de

Die Vorweihnachtszeit wird zum Beutezug für Cyberkriminelle. Seit dem ersten Dezemberwochenende warnen Verbraucherschützer vor koordinierten Phishing-Angriffen auf Kunden großer deutscher Banken. Die Methoden sind raffinierter denn je: Täuschend echte Bankportale, physische Briefe mit QR-Codes und aktuelle Regulierungsänderungen als Vorwand.

Die Täter setzen nicht mehr auf schlecht übersetzte E-Mails. Stattdessen nutzen sie perfekt formulierte Nachrichten und den Druck der Vorweihnachtszeit.

Die Verbraucherzentralen haben ihre Warnlisten massiv erweitert. Besonders betroffen: Barclays Bank, Commerzbank und Volksbanken Raiffeisenbanken.

Barclays-Kunden erhalten seit gestern E-Mails mit Betreffzeilen wie „Dringend: Bestätigung Ihrer Kontaktdaten erforderlich”. Die Nachrichten setzen auf Zeitdruck: Eine sofortige Verifizierung der Telefonnummer sei nötig, sonst drohe der Verlust des Kontozugangs. Der Link führt auf eine gefälschte Seite im Corporate Design der Bank.

Bei der Commerzbank läuft seit dem 03. Dezember eine aggressive Kampagne. Die Betrüger spielen mit technischen Ängsten: „Wichtige Aktualisierung Ihrer photoTAN-App!” lautet der Betreff. Angeblich sei das Sicherheitszertifikat abgelaufen. Wer dem Link folgt, gibt nicht nur Zugangsdaten preis – im Hintergrund wird oft eine betrügerische Überweisung ausgelöst.

Anzeige

Passend zum Thema Quishing und manipulierte Links: Viele Android-Nutzer übersehen elementare Schutz-Einstellungen und scannen QR-Codes, die direkt auf gefälschte Bank-Loginseiten führen. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone – inklusive Praxis-Tipps zu App-Berechtigungen, sicheren Einstellungen für Banking-Apps und wie Sie bösartige QR-Codes erkennen. Ideal für alle, die mobil Bankgeschäfte tätigen. Gratis-Sicherheitspaket für Android herunterladen

Volksbanken-Kunden locken die Täter seit dem 04. Dezember mit einem angeblich neuen „VR-Dashboard”. Das Versprechen eines „flüssigeren und besseren Erlebnisses” soll die Wachsamkeit senken.

Quishing: Gefahr aus dem Briefkasten

Während E-Mail-Filter besser werden, weichen Kriminelle in die physische Welt aus. Der besorgniserregendste Trend im Dezember 2025: Quishing – QR-Code-Phishing per Briefpost.

Gefälschte Briefe, angeblich von ING, Deutscher Bank oder Volksbanken, wirken durch echtes Papier, korrekte Logos und persönliche Anrede extrem seriös. Statt eines Links enthalten sie einen QR-Code.

Warum diese Methode so gefährlich ist:

  • Spam-Filter nutzlos: Der Angriffsweg über den Briefkasten umgeht jede Sicherheitssoftware
  • Medienbruch trickst aus: Auf Smartphone-Displays ist die URL-Leiste oft ausgeblendet – gefälschte Adressen wie volksbank-sicherheit-service.com bleiben unbemerkt
  • Vertrauensbonus: Ein Brief wirkt psychologisch vertrauenswürdiger als eine E-Mail

Die „Verification of Payee”-Lüge

Die Betrüger nutzen reale Änderungen im europäischen Zahlungsverkehr als perfekte Tarnung. Hintergrund ist der „Verification of Payee” (VoP)-Mechanismus – eine EU-Vorgabe, die Banken seit Oktober 2025 verpflichtet, bei Überweisungen den Namen des Empfängers mit der IBAN abzugleichen.

In den gefälschten Schreiben heißt es: „Aufgrund der europaweiten Umstellung auf den IBAN-Namensabgleich müssen Sie Ihre Daten bis zum [Datum] verifizieren, um Kontosperrungen zu vermeiden.” Da viele Kunden von diesen Änderungen gehört haben, wirkt die Aufforderung plausibel.

Kombiniert mit Vorweihnachtsstress und der Angst vor einem gesperrten Konto im Dezember – die perfekte Falle.

KI macht Phishing perfekt

Die Bedrohungslage zeigt eine deutliche Professionalisierung. „Wir sehen kaum noch klassische Rechtschreibfehler, die früher Phishing-Mails entlarvten”, erklären IT-Sicherheitsexperten. Dank generativer KI sind die Texte heute grammatikalisch fehlerfrei und perfekt im Tonfall der jeweiligen Bank.

Google und Apple reagieren bereits: Anti-Phishing-Schutz wird direkt in die Betriebssysteme integriert, etwa durch automatische Analyse von QR-Codes. Doch bis diese Mechanismen flächendeckend greifen, bleibt der Mensch das schwächste Glied.

Für die Banken bedeutet dies enormen Reputationsschaden und hohe Support-Kosten durch blockierte Hotlines – selbst wenn kein Schaden entstanden ist.

Was 2026 droht

Sicherheitsfirmen wie BioCatch prognostizieren eine weitere Eskalation:

  • Deepfake-Anrufe: KI-generierte Stimmen sollen Transaktionsfreigaben erschleichen
  • Hyper-Personalisierung: Phishing-Mails nennen künftig nicht nur Namen, sondern auch letzte Transaktionen oder die genaue Filiale des Kunden
  • Angriff auf Biometrie: Da Passkeys Passwörter ersetzen, spezialisieren sich Angreifer darauf, Sitzungstoken zu stehlen oder biometrische Freigaben zu erschleichen

So schützen Sie sich

  • Ignorieren Sie Mails mit Zeitdruck („in 24 Stunden gesperrt”)
  • Nutzen Sie niemals Links in E-Mails oder QR-Codes in unerwarteten Briefen
  • Öffnen Sie stets die offizielle Bank-App oder tippen Sie die Adresse manuell ein
  • Im Zweifel anrufen – aber nur unter der Nummer auf der Rückseite Ihrer Girocard

PS: Sie wollen konkret wissen, welche Einstellungen Ihr Android-Smartphone gegen QR-Code-Phishing und bösartige Apps stärken? Das Gratis-Sicherheitspaket liefert einfache Schritt-für-Schritt-Anleitungen, Checklisten für Banking-Apps und verständliche Erklärungen zu Berechtigungen und System-Updates – perfekt, um Ihr Smartphone sofort sicherer zu machen. Jetzt Android-Schutzpaket anfordern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler