Betrüger umgehen Sicherheit von Apple Pay und Google Wallet

Eine neue Welle raffinierter Betrugsmaschen zielt auf Nutzer mobiler Bezahldienste ab. Die Täter setzen auf psychologischen Druck statt technische Tricks.

Strafverfolgungsbehörden und Cybersicherheitsexperten haben am Wochenende eine Serie dringender Warnungen vor einer neuen, hoch entwickelten Betrugswelle veröffentlicht. Seit Montag, dem 9. Februar, bestätigen Meldungen einen starken Anstieg von „Bankermittler“-Betrug und gezielten Phishing-Kampagnen, die die Sicherheitsschichten beliebter mobiler Bezahlplattformen wie Apple Pay und Google Wallet aushebeln sollen. Die Angriffe markieren einen Strategiewechsel: weg von technischen Exploits, hin zu raffinierter Social Engineering, die Nutzer unter Druck setzt, freiwillig Zugang zu ihrem finanziellen Leben zu gewähren.

Polizei warnt vor „Bankermittler“-Masche

Bereits am Donnerstag, dem 5. Februar, warnte eine Polizeidienststelle in Ontario, Kanada, vor einem wiederauflebenden Betrugstrend. Bei diesem „Bankermittler“-Scam erleiden Opfer teils erhebliche finanzielle Verluste; ein Betroffener verlor kürzlich über 4.000 Euro.

Die Masche ist ein kalkulierter psychologischer Angriff. Die Betrüger geben sich am Telefon als Mitarbeiter der Betrugsabteilung der Bank, von Online-Händlern oder sogar als Polizeibeamte aus. Sie behaupten, die Konten des Opfers seien kompromittiert und das Geld in unmittelbarer Gefahr. Um es zu „schützen“, instruieren sie das Opfer, Geld in eine „sichere“ digitale Geldbörse zu überweisen oder Bargeld über Bitcoin-Automaten in Kryptowährung umzuwandeln.

Viele Smartphone-Nutzer übersehen einfache Schutzmaßnahmen gegen Vishing, Smishing und andere Angriffe auf mobile Bezahldienste. Ein kostenloses Sicherheitspaket erklärt die fünf wichtigsten Schritte – von sicheren App-Einstellungen über SMS-Prüfungen bis zu richtigen Two-Factor-Verfahren. Praktische Checklisten und Schritt-für-Schritt-Anleitungen zeigen, wie Sie PayPal, Mobile-Banking und Messenger sicherer nutzen. Jetzt kostenlosen Android-Schutzratgeber sichern

Die Täter erzeugen ein falsches Gefühl der Dringlichkeit und fordern oft Geheimhaltung. Sie behaupten, Bankangestellte selbst könnten in den angeblichen Diebstahl verwickelt sein. Diese Taktik isoliert das Opfer und hindert es daran, die Geschichte bei legitimen Stellen zu überprüfen. Die Behörden betonen: Keine seriöse Bank oder Polizei wird jemals eine Überweisung auf eine externe digitale Geldbörse oder Krypto-Adresse zur „Aufbewahrung“ verlangen.

Gezielte „Vishing“-Angriffe auf Apple Pay-Nutzer

Parallel zu den Polizeiwarnungen identifizierten Cybersicherheitsforscher Ende letzter Woche eine hochspezifische Phishing-Kampagne gegen Apple Pay-Nutzer. Berichte von Sicherheitsfirmen wie Malwarebytes beschreiben einen mehrstufigen Angriff, der E-Mail-Phishing mit Telefonbetrug kombiniert – eine Technik, die als „Vishing“ (Voice Phishing) bekannt ist.

Der Angriff beginnt mit einer realistisch wirkenden E-Mail. Darin wird behauptet, eine hochwertige Transaktion auf dem Apple Pay-Konto sei wegen verdächtiger Aktivitäten blockiert. Die E-Mail drängt den Empfänger, umgehend eine angegebene „Betrugspräventions“-Nummer anzurufen. Anders als bei typischen Scams verwenden diese E-Mails professionelle Layouts und korrekte Logos, um Glaubwürdigkeit zu erzeugen.

Ruft ein Opfer die Nummer an, landet es bei einem Betrüger, der sich als Support-Mitarbeiter ausgibt. Dieser „Agent“ führt den Nutzer durch einen angeblichen Verifizierungsprozess. Der kritische Moment kommt, wenn der Betrüger einen Login-Versuch auf die echte Apple ID des Opfers auslöst. Das generiert einen legitimen Zwei-Faktor-Authentifizierungscode (2FA) auf dem Gerät des Opfers. Der Betrüger bittet dann darum, diesen Code vorzulesen, angeblich zur „Identitätsprüfung“. In Wirklichkeit ermöglicht dieser Code dem Angreifer, die Kontosicherheit zu umgehen, sich einzuloggen und eigene Geräte zur digitalen Geldbörse des Opfers hinzuzufügen – und so betrügerische Einkäufe zu tätigen.

Smishing und gefälschte Bonusprogramme

Das Spektrum des Mobilfunkbetrugs reicht inzwischen über direkte Bezahlplattformen hinaus und zielt auch auf die Mobilfunknetze selbst ab. Am Sonntag, dem 8. Februar, tauchten Berichte über eine weit verbreitete SMS-Betrugswelle auf, die Mobilfunkkunden mit gefälschten Verfallsdaten für „Bonuspunkte“ ködert.

Diese Nachrichten geben oft vor, von großen Netzbetreibern wie Vodafone zu stammen. Sie warnen davor, dass Tausende Bonuspunkte in Kürze verfallen würden. Die SMS enthalten einen Link zu einer betrügerischen Website, die das Branding des Anbieters nachahmt. Nutzer, die ihre Punkte „einlösen“ wollen, werden aufgefordert, eine kleine Versandgebühr für einen Preis zu zahlen – und übergeben so ihre Kreditkartendaten an die Kriminellen.

Diese „Smishing“-Angriffe (SMS-Phishing) sind zwar nicht neu, doch die Integration spezifischer Verfallsdaten – oft unter Berufung auf „Programmbedingungen 2026“ – macht sie besonders glaubwürdig und hat bereits zahlreiche Verbraucher getäuscht. Sicherheitsanalysten gehen davon aus, dass die gestohlenen Zahlungsdetails sofort monetarisiert oder für „Tap-to-Pay“-Betrug auf Wegwerfhandys genutzt werden.

Die Schwachstelle ist der Mensch

Das Zusammentreffen dieser Bedrohungen markiert eine bedeutende Entwicklung im Bereich der mobilen Zahlungskriminalität. Jahrelang galten digitale Geldbörsen aufgrund von Tokenisierung und biometrischer Authentifizierung als sicherer als physische Karten. Die aktuelle Angriffswelle zeigt jedoch: Kriminelle umgehen diese technischen Verteidigungslinien nun, indem sie das menschliche Element ins Visier nehmen.

Branchendaten stützen diese Beobachtung. Ein Bericht der Blockchain-Analysefirma Chainalysis vom Januar 2026 prognostizierte, dass die durch Betrug verursachten Verluste global 2025 über 17 Milliarden Euro liegen könnten. Angetrieben wird dies vor allem durch „Identitätsbetrug“, der einen jährlichen Anstieg um 1.400 % verzeichnete. Der Trend legt nahe: Während Verschlüsselung schwerer zu knacken wird, wird der Nutzer selbst zum „weichen Ziel“.

Finanzinstitute reagieren mit neuen Protokollen. Aus dem Bankensektor heißt es, große Kreditinstitute setzten zunehmend auf Geolokalisierungsabgleich. Dabei wird eine Transaktion gekennzeichnet, wenn der Standort des Mobilgeräts des Nutzers nicht mit dem des Händlers übereinstimmt. Datenschutzbedenken und technische Grenzen bedeuten jedoch, dass solche Maßnahmen noch nicht flächendeckend sind.

KI-gesteuerter Betrug als nächste Stufe

Für die Zukunft prognostizieren Sicherheitsexperten für 2026 einen weiteren Anstieg von KI-gesteuertem Betrug. Die beschriebenen „Vishing“-Angriffe setzen derzeit noch auf menschliche Betrüger am Telefon. Doch automatisierte Sprach-Bots, die zu realistischen Gesprächen fähig sind, könnten diese Operationen massiv hochskalieren.

Verbraucher können erwarten, dass mobile Betriebssysteme strengere Warnhinweise für 2FA-Codes einführen werden. Zukünftige Updates für iOS und Android könnten Verifizierungscodes explizit mit Warnungen wie „Geben Sie diesen Code nicht in einem Telefonat weiter“ kennzeichnen – ähnlich wie bei Banking-Apps. Für den Moment bleibt der Rat eindeutig: Überprüfen Sie alle „dringenden“ Warnungen, indem Sie auflegen und die offizielle Nummer auf der Rückseite Ihrer Bankkarte anrufen. Und: Teilen Sie einen 2FA-Code niemals mit, egal, wer danach fragt.

PS: Diese fünf Maßnahmen schließen oft genutzte Lücken bei mobilen Bezahldiensten und verhindern, dass Betrüger per Anruf oder SMS an Ihre Codes kommen. Der Gratis-Report zeigt konkret, welche Einstellungen Sie sofort ändern sollten, wie Sie verdächtige Nachrichten prüfen und welche Checklisten im Notfall helfen. Gratis Android-Sicherheits-Paket anfordern