Spiderman-Phishing-Kit bedroht deutsche Bankkunden

Deutsche Verbraucherschützer warnen vor einer neuen Welle hochprofessioneller Online-Banking-Betrügereien. Ein neues Phishing-Kit namens “Spiderman” ermöglicht täuschend echte Login-Fälschungen.

Seit Anfang Dezember fluten automatisierte Angriffswerkzeuge und gezielte Social-Engineering-Kampagnen die Postfächer von Kunden der Volksbanken, Sparkassen, PayPal und DKB. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat ihre Warnungen in den letzten 72 Stunden deutlich verschärft. Der Zeitpunkt ist strategisch gewählt: In der geschäftigen Vorweihnachtszeit mit vielen Überweisungen sind Verbraucher besonders anfällig für Betrugsversuche.

Cybersicherheitsforscher haben eine neue, hochgefährliche Phishing-Software entdeckt. Das sogenannte “Spiderman”-Kit erlaubt es Kriminellen, pixelgenaue Kopien der Login-Seiten großer Institute wie Comdirect, Postbank und Sparkasse zu erstellen. Der Clou: Das Kit verfügt über fortschrittliche Filterfunktionen. Es erkennt und blockiert Sicherheitsforscher oder automatische Scanner anhand ihrer Region und ihres Gerätetyps. So bleiben die gefälschten Seiten länger unentdeckt.

Passend zum Thema: Viele Android‑Nutzer unterschätzen, wie einfach Betrüger per Quishing oder gefälschten App‑Updates an Login‑Daten kommen. Ein kostenloser Praxis‑Ratgeber erklärt die fünf wichtigsten Schutzmaßnahmen fürs Smartphone: sichere App‑Updates, QR‑Code‑Checks, Erkennen von betrügerischen Messenger‑Gruppen, richtige URL‑Kontrolle und einfache Einstellungen, die Datenklau verhindern. Mit klarer Checkliste für den Alltag – ideal, wenn Sie Banking‑ oder PayPal‑Apps nutzen. Gratis-Sicherheitspaket für Android herunterladen

Das Werkzeug wird über verschlüsselte Messenger-Gruppen vertrieben und senkt die Einstiegshürde für technisch weniger versierte Kriminelle erheblich. Die Qualität der Angriffe habe ein “professionell-industrielles” Niveau erreicht, betonen Experten. Die korrekte Rechtschreibung und persönliche Ansprache in manchen Betrugs-Nachrichten machen die übliche Verteidigung – das Suchen nach Tippfehlern – wirkungslos.

Aktuelle Phishing-Wellen: Diese Fallen laufen jetzt

Die Verbraucherzentrale hat ihren Phishing-Radar zwischen dem 12. und 16. Dezember massiv aktualisiert. Aktuell identifiziert sie mehrere groß angelegte Spam-Wellen:

Volksbanken: Die “VR-Dashboard”-Falle

Seit dem 12. Dezember werden Kunden der Volksbanken mit E-Mails bombardiert, die ein neues “VR-Dashboard” oder “Sicherheitssystem” ankündigen. Die Nachrichten drängen Nutzer, “ihre Daten zu aktualisieren”. Eine Variante droht sogar mit sofortiger Kontoschließung wegen angeblicher “Geldwäsche-Verdachtsmomente” – ein klassischer Panikmacher.

PayPal: Das “24-Stunden”-Ultimatum

Am 16. Dezember wurde eine neue Welle von Phishing-E-Mails für PayPal-Nutzer identifiziert. Sie tragen Betreffzeilen wie “Wichtige Mitteilung zu Ihrem Konto” und setzen auf extremen Zeitdruck. Das Konto werde dauerhaft gesperrt, wenn die Daten nicht innerhalb von 24 Stunden bestätigt würden.

DKB und Comdirect: Der App-Update-Trick

Kunden der DKB und Comdirect werden mit Attacken auf ihre Authentifizierungs-Apps konfrontiert. Gefälschte E-Mails behaupten, die “photoTAN”-App oder das “SecureGo”-Verfahren benötige ein sofortiges Update. Die Links führen zu gefälschten Seiten, die nach sensiblen Login-Daten und TANs fragen.

BaFin warnt vor WhatsApp-Investmentbetrug

Neben klassischem Phishing warnt die BaFin verstärkt vor Identitätsdiebstahl und Investmentbetrug auf Messenger-Plattformen. Seit dem 14. Dezember weist die Aufsichtsbehörde speziell auf betrügerische WhatsApp- und Telegram-Gruppen hin, die sich als seriöse Anbieter ausgeben.

In Gruppen mit Namen wie “VIP justTRADE” oder “A20 DAX Experten Alliaz” geben sich Betrüger als legitime Broker wie Trade Republic aus. “Mentoren” – oft Bots oder Kriminelle mit gestohlenen Fotos echter Analysten – locken Opfer mit exklusiven Aktientipps und hohen Renditen in gefälschte Anlageschemata. Die BaFin stellte am 12. Dezember klar, dass diese Angebote völlig unbefugt sind und Identitätsdiebstahl darstellen.

“Quishing”: Die gefährliche QR-Code-Welle

Eine besonders tückische Entwicklung im Dezember 2025 ist der Anstieg von “Quishing” (QR-Code-Phishing). Um E-Mail-Spamfilter zu umgehen, versenden Kriminelle zunehmend physische Briefe oder PDF-Anhänge mit QR-Codes.

So funktioniert der Betrug:
* Opfer erhalten einen Brief, der wie offizielle Bankkorrespondenz aussieht.
* Der Brief verweist auf neue EU-Zahlungsvorschriften oder “Nutzungsbedingungen-Updates”.
* Das Scannen des QR-Codes führt auf eine für Mobilgeräte optimierte Phishing-Seite.
* Da der schädliche Link im QR-Code-Bild steckt, übersehen ihn traditionelle E-Mail-Scanner oft.

Die Polizei in Niedersachsen und Baden-Württemberg meldete diese Woche zudem Fälle von “Hybrid”-Betrug. In Jungingen lockte ein gefälschtes “Microsoft-Support”-Pop-up ein Opfer in einen Anruf, der durch Fernzugriff auf den Rechner zu einem Schaden von fast 1.000 Euro führte.

Wie Sie sich schützen können

Angesichts der professionellen Angriffe reicht Wachsamkeit allein nicht mehr aus. Verbraucherschützer empfehlen konkrete Maßnahmen:

• Quellen prüfen: Klicken Sie niemals auf Links in E-Mails, die sofortiges Handeln fordern. Melden Sie sich immer direkt über die offizielle Banking-App oder Website an.
• URL kontrollieren: Achten Sie auf subtile Rechtschreibfehler in der Adresszeile (z.B. sparkasse-sicherheit-update.de statt sparkasse.de).
• Verdächtiges melden: Leiten Sie Phishing-Verdachtsfälle an phishing@verbraucherzentrale.nrw oder die Betrugsabteilung Ihrer Bank weiter.
• Apps richtig updaten: Aktualisieren Sie Banking-Apps ausschließlich über den offiziellen Apple App Store oder Google Play Store, nie über Links in E-Mails oder SMS.

Der Blick in die Zukunft ist düster: Für 2026 erwarten Experten, dass sich KI noch tiefer in Betrugskampagnen integriert. Die Fähigkeit des “Spiderman”-Kits, Verkehr zu filtern, deutet auf hochzielgerichtete Angriffe hin, die für Sicherheitsforscher schwerer zu verfolgen sein werden.

PS: Schützen Sie Ihr Android‑Smartphone gezielt vor hochprofessionellen Phishing‑Kits wie “Spiderman”. Dieser kostenlose Ratgeber zeigt praxisnah, wie Sie sichere App‑Updates einrichten, QR‑Codes vor dem Scannen prüfen, verdächtige Messenger‑Gruppen erkennen und Ihre Banking‑Apps richtig absichern. Inklusive übersichtlicher Checkliste für den Alltag, damit Betrüger keine Chance haben. Sicherheitspaket für Android jetzt anfordern