Cyberkriminelle, Zwei-Faktor-Authentifizierung

Cyberkriminelle attackieren gezielt Zwei-Faktor-Authentifizierung

08.02.2026 - 04:01:12

Kriminelle nutzen raffinierte Methoden wie MFA-Bombing und Hybrid-Phishing, um die Zwei-Faktor-Authentifizierung deutscher Bankkunden zu umgehen.

Cyberkriminelle attackieren gezielt Zwei-Faktor-Authentifizierung - Foto: über boerse-global.de
Cyberkriminelle attackieren gezielt Zwei-Faktor-Authentifizierung - Foto: über boerse-global.de

Eine neue Welle raffinierter Phishing-Angriffe zielt aktuell auf Mobile-Banking-Nutzer in Deutschland. Die Betrüger fälschen Warnungen vor Kontosperrungen, um an sensible Zugangsdaten zu gelangen und die Sicherheitsbarriere der Zwei-Faktor-Authentifizierung (2FA) zu überwinden. Verbraucherschützer und Finanzinstitute warnen vor mehreren neuen, technisch ausgefeilten Betrugsmaschen.

Seit Anfang 2026 registrieren Experten einen deutlichen Anstieg der Versuche. Statt nur Passwörter zu stehlen, konzentrieren sich die Kriminellen darauf, die zweite Sicherheitsstufe zu knacken. Sie setzen auf psychologischen Druck, gefälschte Webseiten und teils direkte Anrufe.

MFA-Bombing: Die Ermüdungsattacke

Eine prominente Methode ist das sogenannte „MFA-Bombing“. Dabei haben sich Angreifer bereits die primären Login-Daten beschafft. Beim Einloggen-Versuch löst dies eine 2FA-Bestätigung auf dem Smartphone des Opfers aus.

Die Täter geben nicht auf, sondern fluten das Gerät mit Dutzenden oder Hunderten dieser Push-Benachrichtigungen. Das Ziel: Den Nutzer so zu zermürben, bis er entnervt eine Anfrage bestätigt. Sofort haben die Kriminellen dann die volle Kontrolle über das Konto.

Anzeige

Phishing-Angriffe wie MFA‑Bombing und gefälschte Banken-Webseiten treffen immer mehr Mobile-Banking-Kunden – und einfache Schutzregeln reichen nicht immer aus. Das kostenlose Anti‑Phishing‑Paket zeigt in einer klaren 4‑Schritte-Anleitung, wie Sie Push‑Attacken, gefälschte photoTAN‑Abfragen und Call‑ID‑Spoofing erkennen und abwehren. Praktische Checklisten und Beispiele helfen sofort bei der Umsetzung. Ideal für Verbraucher und IT‑Verantwortliche, die sich schnell wirksam schützen wollen. Anti-Phishing-Paket jetzt kostenlos herunterladen

Gezielter Diebstahl der photoTAN-Grafik

Eine andere Kampagne attackiert seit Ende Januar gezielt Kunden der Commerzbank und deren photoTAN-Verfahren. Die Betrüger versenden SMS und E-Mails, die dringenden Handlungsbedarf vortäuschen – etwa ein ablaufendes Sicherheitszertifikat.

Der enthaltene Link führt auf eine täuschend echte Banken-Webseite. Nach der Eingabe der Login-Daten werden die Opfer aufgefordert, ihre persönliche photoTAN-Aktivierungsgrafik abzufotografieren. Mit diesem Diebstahl können die Täter ein eigenes Smartphone für das Konto registrieren und die 2FA komplett aushebeln.

Hybrid-Phishing: SMS und gefälschter Anruf

Besonders perfide ist das Hybrid-Phishing. Es startet mit einer beunruhigenden SMS über eine angebliche verdächtige Transaktion bei Diensten wie Apple Pay. Unmittelbar danach erfolgt ein Anruf.

Durch „Call ID Spoofing“ erscheint die offizielle Nummer der Hausbank auf dem Display. Der angebliche Sicherheitsmitarbeiter baut enormen Druck auf. In dem Glauben, der Bank zu helfen, geben viele Opfer dann 2FA-Codes telefonisch preis.

Warum die Angriffe so gefährlich sind

Die aktuellen Wellen zeigen eine strategische Weiterentwicklung. Kriminelle greifen nicht mehr nur die Technik, sondern gezielt den Faktor Mensch an. Sie nutzen das Vertrauen in die etablierten Sicherheitsmechanismen aus.

  • Drohungen mit Kontosperrungen erzeugen Handlungsdruck.
  • Gefälschte Gebührenforderungen, wie eine angebliche 2FA-Aktivierungsgebühr von 80 Euro im Namen der Deutschen Bank, sind gängig.
  • Die Professionalität der Fake-Webseiten und die überzeugende Rhetorik am Telefon machen die Erkennung für Laien schwer.

Banken weisen darauf hin, dass sie niemals per E-Mail oder SMS zur Eingabe sensibler Daten auf externen Links oder zur Zahlung von Sicherheitsgebühren auffordern.

So schützen Sie sich

Experten rechnen mit einer weiteren Zunahme und Verfeinerung der Angriffe, möglicherweise mit KI-Unterstützung. Für Verbraucher sind folgende Maßnahmen entscheidend:

  • Nie auf Links in unaufgeforderten Nachrichten mit Dringlichkeitscharakter klicken.
  • Stets manuell über die offizielle App oder Website ins Konto einloggen, um angebliche Meldungen zu prüfen.
  • Unerwartete Push-Benachrichtigungen zur Freigabe von Anmeldungen grundsätzlich ablehnen.
  • Im Zweifel sofort den Kundenservice der eigenen Bank über die offiziellen Kanäle kontaktieren.
  • Eine Drittanbietersperre beim Mobilfunkanbieter einrichten, um sich vor unerwünschten Kosten zu schützen.

PS: Viele der aktuell genutzten Methoden bleiben für Laien unsichtbar – von psychologischem Druck bis zur Übernahme der 2FA. Der kostenlose Report erklärt diese Tricks und liefert praxisnahe Maßnahmen, mit denen Sie Ihr Konto sofort sicherer machen können. Enthalten sind Vorlagen für Notfallmaßnahmen und Hinweise, wann Sie den offiziellen Kundenservice einschalten sollten. Ideal für Privatpersonen, Unternehmen und IT-Verantwortliche, die sensible Zahlungsdaten und Kontozugänge schützen wollen. Jetzt Anti-Phishing-Guide anfordern

@ boerse-global.de
Mach mehr aus deinem Geld: Erfahre live und kostenlos, welche Strategien am besten funktionieren. Jetzt anmelden.