Betrüger nutzen Weihnachtsstress für neue Phishing-Welle

Eine aggressive Welle von Betrugsversuchen überrollt derzeit Deutschland und Österreich. Kriminelle nutzen die hektische Vorweihnachtszeit für raffinierte Phishing-Attacken per SMS, E-Mail und Telefon. Besonders Kunden von Banken, PayPal und Streaming-Diensten sind aktuell im Visier.

Verbraucherschützer und Sicherheitsbehörden verzeichnen einen massiven Anstieg an betrügerischen Nachrichten. Diese sind so professionell gestaltet, dass sie selbst vorsichtige Nutzer täuschen. Die Täter kombinieren psychologischen Druck mit technischer Raffinesse und nutzen verstärkt Künstliche Intelligenz.

Das Computer-Notfallteam der Sparkassen-Finanzgruppe und die Verbraucherzentralen melden fast stündlich neue Varianten von “Sicherheitswarnungen”. Der gemeinsame Nenner ist die Erzeugung von künstlichem Zeitdruck – oft wird eine Frist von 24 Stunden gesetzt.

Eine der derzeit gefährlichsten Maschen zielt direkt auf das Online-Banking ab. Kunden berichten vermehrt von Anrufen angeblicher Sicherheitsmitarbeiter. Die Betrüger nutzen dabei “Call ID Spoofing”, wodurch auf dem Display die echte Telefonnummer der Bank erscheint.

Viele Angriffe wie Quishing, Smishing oder manipulierte PushTAN-Anfragen zielen heute direkt auf Ihr Smartphone. Wenn Sie WhatsApp, Online-Banking oder PayPal am Handy nutzen, reichen einfache Einstellungen oft nicht aus. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android – mit Schritt-für-Schritt-Anleitungen, Checklisten und Praxistipps, wie Sie betrügerische QR-Codes, Paket-SMS und App-Freigaben abwehren. So vermeiden Sie typische Fallen in der Vorweihnachtszeit. Jetzt das kostenlose Android-Sicherheitspaket herunterladen

Im Gespräch behaupten die Anrufer, es habe “verdächtige Abbuchungen” gegeben. Um das Konto zu schützen, müsse der Kunde eine PushTAN-Anfrage in seiner Banking-App bestätigen.

Die Falle: In Wahrheit lösen die Täter selbst eine Überweisung aus. Bestätigt das Opfer die PushTAN-Anfrage, autorisiert es stattdessen den Betrug.

Experten warnen spezifisch vor Nachrichten mit Betreffzeilen wie “Wichtiges Sicherheitsupdate”. Diese E-Mails führen auf täuschend echt nachgebaute Login-Seiten. Rechtschreibfehler, früher ein sicheres Erkennungszeichen, sind dank KI-gestützter Übersetzungstools nahezu verschwunden.

Die “24-Stunden-Frist”: PayPal und Streaming-Dienste im Visier

Neben dem klassischen Online-Banking stehen Zahlungsdienstleister und Unterhaltungsplattformen im Fokus. Besonders PayPal-Nutzer werden derzeit massenhaft mit Phishing-Mails bombardiert.

Die Verbraucherzentrale NRW registrierte eine Häufung von E-Mails. Der Inhalt folgt einem strikten Drehbuch:
1. Behauptung: Es gab ungewöhnliche Aktivitäten.
2. Drohung: Das Konto wird “zu Ihrer Sicherheit” eingeschränkt.
3. Lösung: Ein Link zur angeblichen “Verifizierung”, der nur 24 Stunden gültig sei.

Auch Abonnenten von Netflix, Disney+ und Spotify sind betroffen. Hier lautet der Vorwand meist “Probleme mit der Zahlungsmethode”. Angesichts der Feiertage ist die Verlockung groß, das vermeintliche Problem schnell durch einen Klick zu lösen.

Quishing und Paket-Spam: Die neuen Gefahren

Ein besorgniserregender Trend ist das sogenannte “Quishing” – eine Wortneuschöpfung aus QR-Code und Phishing. Da Spam-Filter bekannte Links blockieren, betten Betrüger die Phishing-Links in QR-Codes ein.

Die E-Mails enthalten oft nur ein kurzes Anschreiben und einen QR-Code. Scannt der Nutzer den Code mit dem Smartphone, wird er auf die schädliche Webseite geleitet.

Parallel dazu rollt die jährliche Welle der Paket-SMS (“Smishing”). Angeblich von DHL, Hermes oder DPD stammende Nachrichten behaupten, ein Paket könne nicht zugestellt werden. Der Link führt oft zur Installation von Schadsoftware oder in Abo-Fallen.

Der Faktor “Mensch” als letzte Hürde

Die aktuelle Bedrohungslage zeigt einen deutlichen Wandel. Technische Barrieren wie Zwei-Faktor-Authentifizierung sind schwer zu knacken. Deshalb konzentrieren sich Angreifer fast ausschließlich auf “Social Engineering” – die Manipulation des Menschen.

Die Kampagnen werden immer zielgerichteter. Statt dem “Gießkannenprinzip” nutzen Täter Daten aus früheren Leaks, um Opfer mit korrektem Namen anzusprechen. Dies erhöht die Glaubwürdigkeit enorm.

“Wir sehen eine Industrialisierung des Betrugs”, erklärt ein Sprecher der Initiative Watchlist Internet. “Die Täter nutzen Baukästen für Fake-Webseiten und setzen KI ein, um E-Mails in perfektem Deutsch zu verfassen.”

Was Verbraucher jetzt tun müssen

Für den Rest des Jahres ist mit keiner Entspannung zu rechnen. Betrüger nutzen auch die Tage “zwischen den Jahren”, wenn Support-Hotlines schlechter erreichbar sind.

Experten raten dringend zu folgenden Schutzmaßnahmen:
* Keine Links klicken: Bei Nachrichten zu Kontosperrungen immer die offizielle App oder Webseite manuell aufrufen.
* Auflegen und Rückrufen: Bei verdächtigen Bankanrufen sofort auflegen. Wählen Sie dann selbst die Nummer von Ihrer Bankkarte.
* Keine App-Freigaben auf Zuruf: Bestätigen Sie niemals eine PushTAN-Anfrage, die Sie nicht selbst ausgelöst haben.
* Misstrauen bei Zeitdruck: Seriöse Unternehmen setzen keine 24-Stunden-Ultimaten per SMS.

Die Methoden der Betrüger werden voraussichtlich noch hybrider werden. Wachsamkeit bleibt der effektivste Schutz.

PS: Sind Sie unsicher, ob eine SMS mit Lieferhinweis echt ist? Der kostenlose Android-Schutz-Ratgeber erklärt, wie Sie QR-Codes und Paket-SMS sicher prüfen, welche App-Berechtigungen Sie sofort einschränken sollten und wie Sie PushTAN-Angriffe erkennen, bevor Geld abfließt. Ideal für alle, die in der Vorweihnachtszeit häufig online bestellen oder mobile Zahlungen nutzen. Gratis-Ratgeber jetzt per E‑Mail anfordern