Sparda-Bank: Neue Phishing-Welle nutzt EU-Verordnung als Köder
27.12.2025 - 18:34:12Betrüger nutzen die EU-Echtzeit-Verordnung als Vorwand, um per SMS und QR-Codes an Banking-Daten zu gelangen und die SecureGo+-App zu kompromittieren. Experten warnen vor der perfiden Masche.
Eine neue, hochgefährliche Phishing-Welle zielt auf Kunden der Sparda-Bank und Nutzer der Authentifizierungs-App SecureGo+ ab. Die Betrüger geben sich als Bank aus und nutzen das Thema Echtzeit-Überweisungen als plausiblen Vorwand für ihre Attacken.
„Echtzeit-Verordnung“ als Türöffner für Betrüger
Die Cyberkriminellen setzen auf ein raffiniertes Täuschungsmanöver: Sie behaupten in SMS und sogar per Postbrief, Kunden müssten ihre Daten aufgrund neuer EU-Vorgaben für schnellere Zahlungen – der sogenannten Echtzeit-Verordnung – „verifizieren“. Wer nicht sofort reagiere, riskiere die Sperrung seines Kontos oder der SecureGo+-App. Diese psychologische Drucktaktik zielt darauf ab, in der hektischen Zeit zwischen den Jahren unüberlegte Handlungen zu provozieren.
Laut dem Verbraucherzentrale-Phishing-Radar und Bankenportalen erreichen die Angriffe derzeit ihren Höhepunkt. Die Nachrichten enthalten oft einen verkürzten Link oder einen QR-Code, der auf gefälschte Login-Seiten der Sparda-Bank führt. Besonders tückisch: Durch „ID Spoofing“ erscheinen die SMS teilweise im selben Chat-Thread wie echte Bankbenachrichtigungen.
Phishing per SMS und manipulierten QR-Codes ist aktuell besonders raffiniert – deshalb schützt Wissen oft besser als Bloßes Misstrauen. Ein kostenloses Anti-Phishing‑Paket erklärt in einer leicht verständlichen 4‑Schritte-Anleitung, wie Sie Links und QR-Codes sofort prüfen, gefälschte Bankseiten erkennen und verhindern, dass Angreifer Ihre Zwei‑Faktor‑App übernehmen. Praktische Checklisten und Beispiele machen es möglich, sofort sicherer zu handeln. Jetzt kostenloses Anti-Phishing‑Paket herunterladen
Der perfide SecureGo+-Hinterhalt
Ein spezieller Angriffsvektor der letzten 72 Stunden zielt gezielt auf die SecureGo+-App, die viele Sparda- und Volksbank-Kunden zur Freigabe von Überweisungen nutzen. Die Phishing-SMS lautet typischerweise: „Wichtige Mitteilung: Ihr SecureGo+ Zugang läuft ab. Bestätigen Sie jetzt, um eine Blockierung zu vermeiden.“
Klickt ein Nutzer auf den Link, wird er aufgefordert, seine Online-Banking-Daten einzugeben. Im nächsten Schritt soll er einen QR-Code scannen oder einen Aktivierungscode eingeben, um die App „zu aktualisieren“. In Wirklichkeit autorisiert er damit die Betrüger, ein eigenes Gerät für den SecureGo+-Zugang des Opfers zu registrieren. Sie erhalten so die Kontrolle über die Zwei-Faktor-Authentifizierung – das eigentlich sicherste Schutzinstrument.
Warum die Masche jetzt so gut funktioniert
Sicherheitsexperten sehen mehrere Gründe für die aktuelle Gefahrenlage. Der Zeitpunkt nutzt die „Feiertagsmüdigkeit“ aus: Viele Verbraucher sind abgelenkt und wollen administrative To-dos noch vor Jahresende erledigen. Die Erwähnung realer regulatorischer Veränderungen verleiht den Betrugsversuchen eine täuschend echte Note.
Die Integration von „Quishing“ – dem Phishing per QR-Code – ist besonders bedenklich. Nutzer sind mittlerweile daran gewöhnt, QR-Codes für Zahlungen oder Speisekarten zu scannen. Die Hemmschwelle, einen Code in einem „Bankbrief“ zu scannen, ist daher gesunken. Zudem umgehen QR-Codes oft die Filter von E-Mail- und SMS-Systemen, da die schädliche URL im Bild steckt, nicht im Text.
So schützen Sie sich richtig
Die Sparda-Bank hat in Sicherheitsmitteilungen klargestellt: Sie versendet nie Links per SMS zur Datenabfrage. Die Echtzeit-Verordnung erfordert keine aktive Bestätigung durch Kunden.
Verbraucherschützer raten zu drei einfachen, aber effektiven Maßnahmen:
1. Keine Links anklicken in unerwarteten SMS oder E-Mails zu Kontosperren.
2. Unabhängig prüfen: Manuell die offizielle Banking-App oder Webseite aufrufen, um nach echten Nachrichten zu suchen.
3. Verdächtiges melden: Phishing-SMS an den Phishing-Radar der Verbraucherzentrale oder den Betrugsbereich der Bank weiterleiten.
Die Angriffe zeigen: Während die digitale Bankenlandschaft mit schnelleren Zahlungen moderner wird, entwickeln sich auch die Methoden des Social Engineering weiter. Wachsamkeit bleibt der beste Schutz.
PS: Wenn Sie verhindern wollen, dass solche Angriffe nicht nur Sie, sondern auch Ihr Unternehmen oder Verein treffen, ist präventive Aufklärung entscheidend. Das gleiche Anti-Phishing‑Paket bietet praxisnahe Maßnahmen zur Sensibilisierung von Mitarbeitern, Vorlagen für sichere Kommunikationsregeln und Tipps zur Absicherung von Authentifizierungs-Apps. Holen Sie sich die Checklisten und Schutzmaßnahmen als Gratis-Download, damit Sie und Ihre Mitwirkenden besser geschützt sind. Gratis Anti-Phishing‑Download sichern
