BaFin warnt vor neuer WhatsApp-Investmentbetrugswelle

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) warnt vor einer neuen Betrugswelle über WhatsApp. Kriminelle geben sich als seriöse Finanzunternehmen aus, um Nutzer in teure Fallen zu locken. Diese Masche ist Teil einer alarmierenden Zunahme raffinierter Cyberangriffe auf mobile Geräte.

Millionen Deutsche nutzen täglich Online-Banking und WhatsApp auf ihrem Smartphone – ohne speziellen Schutz ist das mittlerweile brandgefährlich. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, mit denen Sie Ihr Android-Gerät sofort gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Gefälschte Renditen locken in die Falle

Im Zentrum der aktuellen Warnung steht der Missbrauch bekannter Namen wie der FPM Frankfurt Performance Management AG. Die Betrüger kontaktieren Opfer über WhatsApp und drängen sie zur Installation gefälschter Trading-Apps. In diesen Apps werden angebliche Gewinne angezeigt, um zu weiteren Einzahlungen zu verleiten. Das böse Erwachen folgt beim Auszahlungsversuch: Die Scammer fordern dann plötzlich Gebühren oder Steuern – eine Auszahlung findet nie statt. Die BaFin stellt klar, dass keine Verbindung zu den echten Unternehmen besteht.

Diese Entwicklung deckt sich mit einer aktuellen AARP-Umfrage. Fast 40 Prozent der US-Erwachsenen berichten von eigenen Betrugserfahrungen. Besonders riskant: Rund jeder zehnte Nutzer antwortet auf SMS von unbekannten Absendern. Diese Naivität nutzen Kriminelle gerade auch beim angekündigten Messenger-Wechsel auf Samsung-Geräten in den USA aus. Sie versenden Phishing-Links und hoffen auf Verwirrung.

Angriffe auf die Software-Lieferkette

Neben direkter Ansprache rücken technische Schwachstellen in den Fokus. Eine Sicherheitslücke im weit verbreiteten EngageLab Android SDK gefährdete im April über 50 Millionen App-Installationen, darunter mehr als 30 Millionen Krypto-Wallets. Obwohl ein Fix bereits seit November 2025 verfügbar ist, zeigt der Fall, wie tief die Risiken in der Lieferkette sitzen.

Staatliche Akteure wie die Gruppierung APT28 nutzen derweil Schwachstellen in alten Routern für DNS-Manipulationen. Parallel traf ein schwerer Supply-Chain-Angriff die JavaScript-Bibliothek Axios, die wöchentlich über 100 Millionen Mal heruntergeladen wird. Sogar OpenAI musste im April seine macOS-Nutzer zum Update auffordern, nachdem Angreifer Signaturzertifikate erbeutet hatten.

Eine neue Bedrohungsqualität stellt die „Omnistealer“-Malware dar. Sie wird über Blockchains wie TRON verbreitet und dort dauerhaft gespeichert – eine Löschung ist unmöglich. Berichten zufolge erbeutete sie bereits über 300.000 Datensätze von Hunderten Unternehmen und zielt gezielt auf Passwortmanager und Krypto-Wallets ab.

Ein veraltetes Betriebssystem ist wie eine offene Haustür für Cyberkriminelle, die es auf Ihre sensiblen Daten abgesehen haben. Erfahren Sie in diesem gratis PDF-Ratgeber, wie Sie durch die richtigen Updates Sicherheitslücken schließen und Ihr Android-Smartphone dauerhaft vor Malware schützen. Kostenlosen Android-Update-Guide herunterladen

Der Mensch als schwächstes Glied

Die Wirksamkeit der Maschen beruht oft auf psychologischer Manipulation. Analysten beobachten den Aufstieg des „Affective Computing“ – einer emotionalen KI, die Stimme und Mimik analysiert, um Empathie zu simulieren. Diese Technik kommt beim „Pig Butchering“ zum Einsatz, einem Anlagebetrug, der auf dem Aufbau emotionaler Beziehungen basiert. Besonders gefährdet sind ältere oder einsame Menschen.

Klassische Methoden wie der „Fake Bank Advisor“-Betrug bleiben aktuell. Dabei täuschen Angreifer via Call-ID-Spoofing die Nummer der Hausbank vor und überreden Opfer in manipulativen Gesprächen zu Transaktionen. Auch QR-Codes an öffentlichen Plätzen werden zur Falle: Kriminelle überkleben legitime Codes mit manipulierten Varianten, die auf Phishing-Seiten führen.

Neue Schutzmechanismen und Regulierungen

Als Reaktion führen Tech-Konzerne neue Schutzfunktionen ein. Google rollt eine Ende-zu-Ende-Verschlüsselung für Gmail auf iOS und Android aus. Samsung integriert eine KI-basierte Betrugserkennung direkt in die Telefon-App seiner Galaxy-Modelle. Sie analysiert Gespräche lokal auf Betrugsmuster, ohne Daten zu externen Servern zu senden.

Regulatorisch versuchen Behörden, den Spielraum der Kriminellen einzuengen. In den Niederlanden zerschlug die Polizei im August 2025 das Netzwerk „VerifTools“, das fast eine Million gefälschte Ausweise generiert hatte. Die Zentralbank von Nigeria setzt ab Mai 2026 verschärfte Regeln für Mobile Banking durch, die die Nutzung auf ein Gerät pro Kunde beschränken.

Professionelle Betrugsindustrie auf dem Vormarsch

Die Häufung der Warnungen zeigt eine Professionalisierung der Betrugsindustrie. Der Vergleich des Omnistealer-Vorfalls mit dem WannaCry-Ausbruch von 2017 verdeutlicht das historische Ausmaß der Bedrohung. Zwar sind technische Schutzmaßnahmen wie die Zwei-Faktor-Authentifizierung essentiell – laut AARP nutzen sie aber nur 18 Prozent konsequent. Das größte Risiko bleibt der Mensch.

Die Kombination aus technischer Raffinesse und psychologischer Manipulation macht es für Einzelne immer schwerer, Betrug zu erkennen. Für die kommenden Monate ist mit einer weiteren Zunahme automatisierter Angriffe zu rechnen, die durch generative KI noch skaliert werden. Nutzer sollten bei unaufgeforderten Finanzangeboten grundsätzlich skeptisch bleiben und im Zweifel direkt die offiziellen Kanäle der Institute nutzen.

de | boerse | 69130624 |