Sparkassen-Kunden im Visier neuer Phishing-Welle

Eine massive Welle koordinierter Betrugsangriffe hält Verbraucher in Atem. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer neuen Qualität von Phishing-Attacken, die gezielt die Zwei-Faktor-Authentifizierung (2FA) umgehen. Besonders Kunden der Sparkasse und Nutzer von PayPal stehen im Fadenkreuz.

Die aggressivste Angriffswelle dieser Woche richtet sich gegen Sparkassen-Kunden. Tausende gefälschte E-Mails und SMS mit Betreffzeilen wie „Aktualisierung erforderlich – Ref: 8731399“ kursieren. Die Täter zielen nicht mehr nur auf Passwörter ab. Stattdessen versuchen sie, Opfer zur Freigabe eines fremden Gerätes für das pushTAN-Verfahren zu bewegen.

Banken- und PayPal-Kunden sind aktuell Ziel von sogenannten Real‑Time‑Phishing-Angriffen, bei denen 2FA‑Bestätigungen in Echtzeit abgefangen werden. Das kostenlose Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie gefälschte Mails, Smishing‑SMS und manipulierte Login‑Seiten erkennen, pushTAN‑Angriffe abwehren und persönliche Daten schützen. Mit praktischen Checklisten für Verbraucher und Basis‑Empfehlungen für kleine Organisationen, damit Sie sofort aktiv werden können. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

Ein verräterisches Detail entlarvt die international agierenden Betrüger: Einige Mails enden mit dem niederländischen Satz „Bedankt voor uw vertrouwen“. Wer auf den Link klickt, landet auf täuschend echten Fake-Seiten. Geben Nutzer dort ihre Daten ein, werden sie oft sofort angerufen. Die Anrufer geben sich als Bankmitarbeiter aus und fordern unter massivem Zeitdruck die Freigabe einer TAN.

Smishing-Explosion bei PayPal und Netflix

Neben Banken verzeichnen Sicherheitsexperten eine Explosion von Smishing-Nachrichten (SMS-Phishing). Besonders betroffen sind aktuell:

• PayPal: Nutzer erhalten SMS über ein angebliches „Sicherheitsupdate“, das sofort durchgeführt werden müsse.
• Streaming-Dienste: Pünktlich zur Vorweihnachtszeit kursieren Meldungen über vermeintliche Zahlungsprobleme bei Disney+ und Netflix.
• Volksbanken: Auch hier wird unter dem Vorwand von „Sicherheitsgründen“ versucht, Kunden auf gefälschte Login-Seiten zu locken.

Die gefälschten Webseiten sind auf Smartphones kaum noch vom Original zu unterscheiden. Ihr Ziel: Persönliche Daten und Kreditkarteninformationen abgreifen.

So umgehen die Täter die Zwei-Faktor-Authentifizierung

Die neue Bedrohung heißt „Real-Time-Phishing“. Sicherheitsexperten sind alarmiert. „Die Täter sitzen quasi live am anderen Ende“, erklären IT-Analysten. Die automatisierte Angriffstechnik funktioniert in Echtzeit:

1. Das Opfer gibt seine Zugangsdaten auf der Fake-Seite ein.
2. Die Betrüger nutzen diese Daten sofort für einen Login auf der echten Bankseite.
3. Die Bank löst eine 2FA-Bestätigung (z.B. pushTAN) aus.
4. Die Fake-Seite fordert das Opfer auf, genau diese Bestätigung einzugeben.

Auf diese Weise wird der eigentlich sichere zweite Faktor geknackt. Das BSI warnt eindringlich: Bestätigen Sie niemals eine Transaktion, die Sie nicht selbst ausgelöst haben.

Die Industrialisierung des Betrugs

Die aktuellen Angriffe zeigen einen weiteren Schritt in der Industrialisierung der Cyberkriminalität. Im Vergleich zum Vorjahr ist die Qualität durch KI-gestützte Übersetzungstools massiv gestiegen. Die Texte wirken professionell, die Fake-Seiten sind täuschend echt.

Hinter der Gleichzeitigkeit der Attacken auf verschiedene Sektoren steckt oft das Geschäftsmodell „Cybercrime-as-a-Service“. Kriminelle Gruppen mieten fertige Phishing-Infrastrukturen an, anstatt sie selbst zu entwickeln. Der wirtschaftliche Schaden geht bereits in die Millionenhöhe.

Was können Verbraucher tun? Die wichtigste Regel bleibt: Keine Bank und kein seriöser Dienstleister fragt jemals telefonisch nach PINs, TANs oder Passwörtern. Links in unerwarteten SMS oder Mails sollten ignoriert werden. Im Zweifel kontaktieren Sie den Kundenservice immer über die offiziell bekannte Telefonnummer oder Website.

PS: Sie möchten sich zusätzlich absichern? Das Anti‑Phishing‑Paket bietet eine praxisnahe Anleitung mit konkreten Branchenbeispielen, psychologischen Angriffsmustern und sofort umsetzbaren Gegenmaßnahmen – ideal, um sich selbst und kleinere Organisationen besser zu schützen. Laden Sie die Schritt‑für‑Schritt‑Checkliste herunter und prüfen Sie Ihre E‑Mails, SMS und Login‑Seiten nach den wichtigsten Warnsignalen. Jetzt Anti‑Phishing‑Guide sichern