Spiderman-Kit und KI-Tricks: Banken-Betrug erreicht neue Dimension

Die Weihnachtseinkäufe laufen auf Hochtouren – und mit ihnen eine beispiellose Welle raffinierter Betrugsangriffe auf Bankkunden. US-Behörden und Cybersicherheitsfirmen warnen vor einer gefährlichen Kombination aus KI-generierten Phishing-Kampagnen und neuen, leicht zu bedienenden Hacker-Tools, die gezielt europäische Institute ins Visier nehmen.

Das US-Finanzministerium warnte am Montag vor „beispiellosen“ Cyber-Betrugsmethoden, die durch Künstliche Intelligenz angetrieben werden. Der Tonfall der Betrüger hat sich radikal verändert: Statt grober Massen-Spams setzen sie nun auf generative KI, um täuschend echte Nachrichten zu erstellen und vertrauenswürdige Absender zu imitieren – fehlerfrei und personalisiert.

„Betrüger nutzen digitale Plattformen und neue Technologien auf immer raffiniertere Weise“, sagte Cory Wilson vom Office of Cybersecurity. Die KI klont inzwischen sogar Stimmen von Familienmitgliedern für Notfall-Betrügereien. Die Zahlen des Sicherheitsunternehmens Check Point untermauern die Warnung: Allein in den ersten zwei Dezemberwochen registrierten sie über 33.500 weihnachtliche Phishing-E-Mails. SMS-Phishing-Angriffe („Smishing“) haben sich im Vergleich zum Vorjahreszeitraum verdoppelt, oft getarnt als Paketbenachrichtigungen von DHL, UPS oder FedEx.

Passend zum Thema: Die neuen KI-basierten Phishing‑Methoden und Phishing‑Kits wie „Spiderman“ erhöhen das Risiko für Banken, Unternehmen und Kunden massiv. Ein kostenloser Fach-Report fasst die aktuellen Cyber‑Security‑Trends zusammen, erklärt, welche Schutzmaßnahmen jetzt dringend empfohlen werden (z. B. Passkeys, Hardware-Sicherheitsschlüssel, Zero‑Trust‑Ansätze) und liefert konkrete Checklisten für IT‑Verantwortliche. Ideal für Entscheider und Sicherheitsbeauftragte, die schnell wirksame Maßnahmen umsetzen möchten. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Spiderman-Kit: Bank-Phishing per Mausklick für Europa

Während in den USA der Verbraucherbetrug im Fokus steht, bedroht ein neues Werkzeug namens „Spiderman“ gezielt die Sicherheit europäischer Banken. Es handelt sich um ein „Phishing-as-a-Service“-Kit, das erstmals von Varonis Threat Labs analysiert wurde und seit Montag in Fachkreisen für Aufsehen sorgt.

Das Tool, das im Darknet verkauft wird, demokratisiert die Cyberkriminalität: Auch technisch wenig versierte Kriminelle können damit täuschend echte Login-Kopien für Dutzende Institute – darunter Deutsche Bank, Commerzbank und ING – erstellen und betreiben. Die Besonderheit: Das Kit kann die Zwei-Faktor-Authentifizierung (2FA) vieler europäischer Banken aushebeln, indem es Einmal-Passwörter und PhotoTAN-Codes abfängt. „In der Praxis reduziert es Phishing-Angriffe auf europäische Banken auf wenige Klicks“, so die Varonis-Forscher.

Mobile Trojaner: ToxicPanda und Frogblight im Anmarsch

Parallel dazu erleben Android-Banking-Trojaner ein Comeback. Sicherheitsexperten verfolgen derzeit „ToxicPanda“, der in Italien, Portugal und Spanien kursiert. Die Schadsoftware nutzt „On-Device-Fraud“: Nach der Installation – oft über gefälschte App-Updates – übernimmt sie die Kontrolle über das Gerät und kann unbemerkt Überweisungen tätigen.

Ebenfalls am Montag machte Kaspersky den Trojaner „Frogblight“ bekannt, der in der Türkei Bankdaten stiehlt. Beide Entwicklungen zeigen einen klaren Trend: Angreifer umgehen zunehmend die Bank-Server und kompromittieren stattdessen direkt das Endgerät des Kunden.

Banken ziehen die Schrauben an – Verbraucher müssen misstrauisch werden

Die geballte Bedrohungslage hat die globale Finanzbranche in Alarmbereitschaft versetzt. Institute wie Virgin Money warnen ihre Kunden vor QR-Code-Betrug, und auch in Hongkong häufen sich Phishing-Nachrichten. Laut einem Bericht des „American Banker“ stiegen Betrugsversuche in der Thanksgiving-Woche 2024 bereits um 21 Prozent. Für diese Saison rechnen die Banken aufgrund der bot-gesteuerten Angriffe mit noch höheren Volumina.

„Die Einstiegshürde für Betrug ist zusammengebrochen“, erklärt ein Betrugsanalyst einer Londoner Sicherheitsfirma. „Mit Tools wie Spiderman und KI-Textgeneratoren kann heute ein Einzeltäter das Bedrohungsvolumen eines ganzen Syndikats erzeugen.“

Die Konsequenz? Der klassische SMS-basierte Bestätigungscode steht vor dem Aus. Banken dürften den Umstieg auf phishing-resistente Hardware-Sicherheitsschlüssel und biometrische „Passkeys“ beschleunigen. Bis dahin bleibt nur eine Verteidigungsstrategie: ein „Zero-Trust“-Mindset. Jede unaufgeforderte Kommunikation – sei es per E-Mail, SMS oder Anruf – muss kritisch hinterfragt und über die offizielle Banking-App verifiziert werden. In dieser Weihnachtszeit könnte dieser kurze Moment des Misstrauens die wertvollste Transaktion sein, die Verbraucher tätigen.

PS: Wussten Sie, dass viele Mittelständler und Finanzteams sich mit einfachen Maßnahmen deutlich besser schützen können? Ein kostenloser Report zeigt Praxis-Beispiele, wie Unternehmen ihre Mitarbeitenden sensibilisieren, CEO‑Fraud und Smishing erkennen und schnelle Abwehr‑Strategien implementieren. Zahlreiche Fallstudien und umsetzbare Maßnahmen helfen sofort. Gratis-Report: Cyber-Security Awareness Trends anfordern