MFA-Bombing: Betrüger attackieren Banking-Apps mit Benachrichtigungs-Flut

Bankkunden werden mit einer Flut betrügerischer Push-Benachrichtigungen attackiert. Die als MFA-Bombing bekannte Methode zielt darauf ab, Nutzer durch Dauerbeschuss mit Bestätigungsanfragen mürbe zu machen – bis sie aus Verzweiflung zustimmen. Experten warnen vor dieser perfiden Social-Engineering-Taktik.

So funktioniert der digitale Dauerbeschuss

Cyberkriminelle starten den Angriff mit gestohlenen Zugangsdaten. Diese erbeuten sie durch Phishing, Schadsoftware oder aus Datenleaks im Darknet. Mit den Login-Daten versuchen sie dann wiederholt, sich beim Online-Banking anzumelden.

Jeder Versuch löst eine Push-Benachrichtigung auf dem Smartphone des eigentlichen Kontoinhabers aus. Die Betrüger setzen auf Masse: Dutzende oder Hunderte Anfragen, oft gezielt nachts, sollen den Nutzer verwirren und ermüden. Das Ziel ist nicht, die Technik zu knacken, sondern die menschliche Geduld.

Phishing-Angriffe und MFA‑Bombing zielen bewusst auf die Verunsicherung von Bankkunden – eine einzige falsche Bestätigung kann Ihr Konto gefährden. Das kostenlose Anti‑Phishing‑Paket liefert eine praxisnahe 4‑Schritte‑Anleitung, erklärt die psychologischen Tricks der Täter und gibt sofort anwendbare Checklisten für den Schutz Ihres Bankzugangs. Ideal für Privatnutzer und alle, die Online‑Banking sicherer machen wollen. Jetzt Anti‑Phishing‑Paket kostenlos herunterladen

Die Psychologie hinter der Müdigkeits-Falle

Der Erfolg der Masche basiert auf psychologischer Kriegsführung. In unserem Alltag mit ständigen Benachrichtigungen neigen wir zur Abstumpfung. Die Angreifer spekulieren darauf, dass ein genervter oder abgelenkter Nutzer irgendwann blind auf „Bestätigen“ tippt – nur um endlich Ruhe zu haben.

Die Täter gehen teilweise noch weiter: Sie kontaktieren Opfer telefonisch, geben sich als Bank-Mitarbeiter aus und drängen zur Bestätigung einer „Test-Anfrage“. Diese Kombination aus digitalem Bombardement und persönlicher Täuschung macht die Methode so gefährlich.

So schützen Sie sich vor der Benachrichtigungs-Flut

Die Verteidigung ist simpel, aber entscheidend:
* Nie unerwartete Anfragen bestätigen: Eine Login-Bestätigung, die Sie nicht selbst ausgelöst haben, ist immer ein Alarmzeichen.
* Passwort sofort ändern: Bei einer verdächtigen Benachrichtigungs-Flut wechseln Sie umgehend Ihr Banking-Passwort.
* Bank informieren: Melden Sie den Vorfall direkt Ihrer Bank.
* Telefonische Aufforderungen ignorieren: Seriöse Banken werden Sie nie anrufen, um Sie zur Bestätigung einer Transaktion oder App-Installation zu drängen.

Der Mensch als neue Schwachstelle

MFA-Bombing zeigt einen klaren Trend: Angreifer umgehen technische Hürden, indem sie den Faktor Mensch ausnutzen. Selbst bei Unternehmen wie Uber war diese Methode bereits erfolgreich. Die Multi-Faktor-Authentifizierung bleibt wichtig – aber sie muss durch wachsames Nutzerverhalten ergänzt werden.

Was Banken jetzt entwickeln

Als Reaktion arbeiten Finanzinstitute an robusteren Authentifizierungsmethoden. Dazu gehören:
* Number Matching: Nutzer müssen eine auf dem Bildschirm angezeigte Zahl in der App eingeben, statt nur auf „Bestätigen“ zu tippen.
* Biometrie: Fingerabdruck- oder Gesichtserkennung.
* Hardware-Sicherheitsschlüssel: Physische Geräte nach FIDO2-Standard.

Bis diese Lösungen Standard sind, bleibt die Wachsamkeit jedes Einzelnen die wichtigste Verteidigung. Jede unerwartete Push-Benachrichtigung sollte als potenzieller Angriff gewertet werden.