Phishing-Welle trifft deutsche Bankkunden und Disney-Nutzer

Die Betrüger schlagen zu: Pünktlich zur Adventszeit bombardieren Kriminelle Millionen Deutsche mit gefälschten Mails und SMS. Commerzbank-Kunden, Volksbanken-Nutzer und Disney+-Abonnenten stehen derzeit besonders im Visier. Die Verbraucherzentrale meldet einen massiven Anstieg der Phishing-Attacken – und die Masche wird immer perfider.

Warum ausgerechnet jetzt? Die Antwort ist simpel: Zwischen Geschenke-Shopping, Jahresabschluss und Paketflut sinkt die Wachsamkeit. Genau das nutzen die Kriminellen gnadenlos aus.

Commerzbank-Kunden erhalten seit dieser Woche E-Mails, die es in sich haben. Der Betreff klingt offiziell: Eine „verpflichtende Aktualisierung der photoTAN-App” sei notwendig. Die Drohung folgt auf dem Fuß – ohne Update drohe die Einschränkung des Online-Bankings. Die Frist? Ultraknappe 24 bis 48 Stunden.

Die Volksbanken-Variante setzt auf Modernität. Hier locken Betrüger mit einem angeblich neuen „VR-Dashboard” für ein „verbessertes Sicherheitserlebnis”. Das Perfide: Die E-Mails wirken professionell gestaltet. Nur die unpersönliche Anrede – manchmal mit fehlendem Leerzeichen („Sehrgeehrter Kunde”) – entlarvt die Fälschung.

Passend zum Thema Smishing und Quishing: Viele Smartphone-Nutzer unterschätzen, wie schnell ein gescannter QR-Code oder ein SMS-Link Zugang zu Konten erlaubt. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android-Geräte mit leicht umsetzbaren Schritt-für-Schritt-Anleitungen — etwa sichere App-Einstellungen, Link-Checks und Backup-Tipps. Ideal, wenn Sie Online-Banking, PayPal oder Streaming-Apps auf dem Handy nutzen. Der Ratgeber ist gratis per E‑Mail und enthält eine praktische Checkliste für den Alltag. Jetzt kostenloses Android-Sicherheits-Paket herunterladen

Wer auf die Links klickt und seine Daten eingibt, liefert Kriminellen Vollzugriff auf seine Konten.

Disney+ im Fokus: Die Streaming-Falle

Streaming-Dienste sind das zweite große Ziel. Seit dem 1. Dezember kursieren Mails an Disney+-Nutzer: Die letzte Zahlung sei fehlgeschlagen, Zahlungsdaten müssten aktualisiert werden. Die Drohkulisse bleibt gleich – Kontosperrung binnen sieben Tagen.

Die Wahrheit? Streaming-Anbieter fordern niemals per E-Mail zur Dateneingabe über direkte Links auf. Solche Änderungen gehören ausschließlich in die offizielle App oder auf die manuell eingetippte Webseite.

Smishing: Betrug in der Hosentasche

Noch gefährlicher als E-Mails sind derzeit SMS-Angriffe. Das Bundesamt für Sicherheit in der Informationstechnik registriert eine deutliche Zunahme von „Smishing” (SMS-Phishing). Die Masche funktioniert gerade jetzt perfekt, wo Millionen auf Pakete warten.

Die typischen Texte: „Ihr Paket konnte nicht zugestellt werden. Bitte zahlen Sie Zollgebühren von 1,99 €” oder „Adressdaten fehlen”. Der beigefügte Link führt auf gefälschte DHL-Seiten. Wer dort Kreditkartendaten eingibt, landet in Abo-Fallen oder ermöglicht Abbuchungen in weitaus höherer Höhe.

Quishing: Wenn der QR-Code zur Falle wird

Die neueste Variante nennen Sicherheitsexperten „Quishing” – QR-Code-Phishing. Warum das so gefährlich ist? E-Mail-Filter scannen Text und Links, ignorieren aber oft Bilder. Betrüger betten deshalb QR-Codes in ihre Mails ein.

Die hybride Variante ist noch perfider: Kriminelle versenden physische Briefe per Post, die wie offizielle Bank-Schreiben aussehen. Der enthaltene QR-Code soll angeblich ein neues Sicherheitsverfahren aktivieren. Wer den Code mit dem Smartphone scannt, landet auf einer Phishing-Seite – ohne den kritischen URL-Check, den man am PC eher durchführt.

KI macht Betrüger professioneller

Vorbei sind die Zeiten offensichtlicher Rechtschreibfehler und holprigen Deutschs. Dank generativer KI sind Phishing-Mails heute grammatikalisch fehlerfrei und rhetorisch geschliffen. Das BSI warnt in seinen Lageberichten: Die Automatisierung durch KI ermöglicht es Angreifern, Kampagnen schneller und glaubwürdiger zu skalieren.

Die Verlagerung auf mobile Endgeräte verstärkt den Effekt. Auf kleinen Smartphone-Displays sind gefälschte URLs wie commerzbank-sicherheit-update.de deutlich schwerer zu erkennen als am Desktop-Monitor.

So schützen Sie sich jetzt

Für den Rest des Jahres und Anfang 2026 ist keine Entspannung in Sicht. Experten rechnen nach den Feiertagen mit einer Welle von „Rückerstattungs-Betrug”.

Die wichtigsten Schutzmaßnahmen:

• Keine Links klicken – Bank- und Streaming-Seiten immer manuell aufrufen
• Absender prüfen – auf den Absendernamen tippen, um die tatsächliche E-Mail-Adresse zu sehen
• Push-Nachrichten nutzen – offizielle Apps der Dienstleister für Benachrichtigungen verwenden
• Skepsis bei Zeitdruck – jede Nachricht mit ultraknappen Fristen ist höchstverdächtig

Wer bereits Daten eingegeben hat, muss sofort handeln: Bank kontaktieren, Passwörter ändern, Anzeige bei der Polizei erstatten. Der Holiday-Stress darf nicht zur teuren Falle werden.

PS: Diese 5 Schutzmaßnahmen machen Ihr Smartphone spürbar sicherer — und schließen gerade die Lücken, die Smishing- und Quishing-Angriffe ausnutzen. Der Gratis-Ratgeber liefert praxisnahe Tipps zu sicheren Einstellungen, QR-Code-Checks und Erkennung gefährlicher Links, speziell für Alltagssituationen wie Paketnachrichten oder Bank-Mails. Praktische Checkliste inklusive. Schnell, einfach und auch für Technik-Einsteiger verständlich. Sicherheitspaket für Android jetzt anfordern