Sparkassen warnen vor neuer Hybrid-Phishing-Welle

Sparkassen und apoBank warnen vor einer massiven Phishing-Kampagne. Die koordinierte Attacke zielt aktuell auf Bankkunden in Deutschland und Österreich ab. Sicherheitsexperten stufen die neue Methode als besonders gefährlich ein.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verzeichnet eine alarmierende Zunahme dieser Angriffe. Die Kriminellen setzen dabei auf eine perfide Kombination aus SMS und Telefonanrufen – Experten sprechen von „Hybrid-Phishing“.

Da Betrüger immer raffiniertere Methoden nutzen, um mobile Banking-Daten abzugreifen, ist ein grundlegender Schutz des Smartphones unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihr Android-Gerät und Apps wie PayPal oder Online-Banking effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

So funktioniert die neue Betrugsmasche

Die Attacke beginnt meist mit einer täuschend echten SMS. Diese erscheint dank gefälschter Absenderkennung oft im selben Chatverlauf wie frühere Banknachrichten. Die Nachricht behauptet ein dringendes Problem – etwa eine Kontosperrung oder verdächtige Abbuchung.

Klickt das Opfer den enthaltenen Link an, folgt der zweite Schlag: Ein sofortiger Telefonanruf. Die Anrufer geben sich als Bankmitarbeiter aus und nutzen die gerade eingegebenen Daten, um Vertrauen zu schaffen. Sie bauen gezielt psychologischen Druck auf, oft in den Abendstunden.

KI macht Betrug fast nicht mehr erkennbar

Ein wesentlicher Treiber der neuen Welle ist künstliche Intelligenz. Frühere Erkennungsmerkmale wie schlechte Grammatik oder holprige Formulierungen gehören der Vergangenheit an. Moderne Sprachmodelle generieren fehlerfreie, personalisierte Texte.

Noch bedrohlicher ist der Einsatz von Voice-Cloning. Mit wenigen Sekunden Audiomaterial aus sozialen Netzwerken imitieren Kriminelle Stimmen täuschend echt. Das BSI warnt vor einer regelrechten KI-getriebenen Phishing-Flut.

Selbst pushTAN bietet keinen sicheren Schutz

Die Angreifer umgehen technische Sicherheitsbarrieren durch psychologische Manipulation. Sie konzentrieren sich auf das schwächste Glied: den Menschen vor dem Bildschirm. Selbst die Zwei-Faktor-Authentifizierung wird so ausgehebelt.

Die falschen Bankmitarbeiter instruieren ihre Opfer detailliert, eine eingehende pushTAN-Anforderung zu bestätigen. In Wirklichkeit autorisieren die Kunden damit ihre eigene Beraubung. Banken raten zu einer kompromisslosen Zero-Trust-Strategie.

Wer haftet für den finanziellen Schaden?

Die perfekten Täuschungen führen zu komplexen juristischen Fragen. Genehmigt ein Kunde eine Transaktion selbst via pushTAN, gehen Banken oft von grober Fahrlässigkeit aus. Die Rückerstattung gestohlener Beträge wird dann schwierig.

Verbraucherschützer argumentieren, dass die KI-gestützte Täuschung inzwischen selbst aufmerksame Nutzer überfordert. Auf EU-Ebene wird an neuen Regularien gearbeitet, die die Haftungsfrage ab 2027 klarer definieren sollen. Bis dahin tragen Kunden das primäre Risiko.

Wie können sich Nutzer schützen?

Sicherheitsexperten betonen: Die persönliche Skepsis ist die wichtigste Verteidigung. Bei jedem unerwarteten Anruf zu Finanzthemen sollte das Gespräch sofort beendet werden. Die eigene Bank kontaktiert man ausschließlich über die offizielle Rufnummer auf der Bankkarte.

Banken investieren zwar in Aufklärung, warnen aber gleichzeitig: Ein absoluter technischer Schutz gegen diese hybriden Angriffe ist derzeit nicht realisierbar. Die nächste Verteidigungslinie sollen KI-gestützte Warnsysteme in Smartphones und Banking-Apps bilden.