MFA-Bombing: Neue Angriffswelle zielt auf Banking-Apps

Eine neue Welle von Cyberangriffen zielt auf die Multi-Faktor-Authentifizierung (MFA) deutscher Banking-Apps ab. Kriminelle nutzen eine psychologische Taktik namens „MFA-Bombing“, um Nutzer zur Freigabe betrügerischer Transaktionen zu drängen. Banken und Sicherheitsbehörden warnen aktuell vor der wachsenden Bedrohung.

So funktioniert der Angriff mit „Bestätigungs-Müdigkeit“

Die Methode setzt nicht auf technische Lücken, sondern auf menschliche Schwächen. Nachdem sich Angreifer ein Passwort beschafft haben, starten sie Dutzende Login-Versuche in Sekundenschnelle. Jeder Versuch löst eine Push-Benachrichtigung auf dem Smartphone des Opfers aus.

Das Kalkül: In der Flut von Benachrichtigungen soll das gestresste Opfer aus Versehen auf „Bestätigen“ tippen. Ein einziger Klick gewährt den Kriminellen vollen Zugriff. Sie nutzen ihn sofort für Echtzeit-Überweisungen oder erstellen eine digitale Karte, um das Konto leerzuräumen.

Passend zum Thema Cyber-Angriffe: Immer mehr Betrugsformen zielen gezielt auf die Psychologie von Nutzern – MFA‑Bombing ist ein aktuelles Beispiel. Ein kostenloser Cyber‑Security‑Report erklärt praxisnah, wie Sie verdächtige MFA‑Anfragen erkennen, Notfall‑Checks durchführen und Konten wirkungsvoll schützen. Der Leitfaden richtet sich an Verbraucher und kleine Unternehmen, die sofort umsetzbare Sicherheitsmaßnahmen suchen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Perfide Kombination: Digitale Flut und gefälschter Anruf

Die Gefahr steigt, wenn die digitale Attacke mit klassischem Social Engineering kombiniert wird. Oft folgt auf die Benachrichtigungs-Flut ein Anruf eines angeblichen Bankmitarbeiters.

• Die Täter nutzen „Call ID Spoofing“, sodass die echte Banknummer auf dem Display erscheint.
• Unter dem Vorwand, ein Sicherheitsproblem zu lösen, drängen sie das verunsicherte Opfer zur Bestätigung in der App.
• Analysen zeigen, dass sich Angreifer gezielt auf Kunden großer deutschen Institute wie der DKB oder Deutschen Bank konzentrieren.

Diese hybriden Angriffe untergraben gezielt das Vertrauen in bekannte Sicherheitsmechanismen.

So können sich Nutzer schützen

Gegen diese psychologischen Tricks helfen vor allem Wachsamkeit und neue technische Hürden. Experten raten zu einem klaren Verhalten:

• Immer ablehnen: Bei jeder unerwarteten MFA-Anfrage sofort auf „Ablehnen“ tippen. Eine solche Benachrichtigung ist ein sicheres Zeichen, dass das Passwort gestohlen wurde und geändert werden muss.
• Nie bestätigen unter Druck: Seriöse Banken fordern niemals telefonisch zur Bestätigung einer Push-Nachricht auf.
• Auf „Number Matching“ achten: Immer mehr Dienste führen den Zahlenabgleich ein. Hier muss der Nutzer eine vom Browser vorgegebene Nummer in der App eingeben – ein versehentliches Bestätigen wird so unmöglich.

Technische Schutzmaßnahmen der Banken umfassen auch die Begrenzung von Anfragen in kurzer Zeit und risikobasierte Prüfungen von Standort und Gerät.

Der Wettlauf geht weiter

MFA-Bombing zeigt einen klaren Trend: Cyberkriminelle konzentrieren sich immer mehr auf die Manipulation des Menschen statt auf rein technische Lücken. Die Zukunft liegt in phishing-resistenten Methoden wie FIDO2-Passkeys, die ohne störende Push-Benachrichtigungen auskommen.

Bis diese sich flächendeckend durchsetzen, bleibt die Aufmerksamkeit des Nutzers die wichtigste Verteidigung. Apps wie die CYROS-Warnapp, die Informationen des BSI bündelt, sollen Verbraucher künftig schneller vor solchen Gefahren warnen. Der Wettlauf zwischen Angreifern und Verteidigern wird jedoch weitergehen.

PS: Wollen Sie sich konkret gegen Phishing, Call‑ID‑Spoofing und MFA‑Bombing wappnen? Das kostenlose E‑Book „Cyber Security Awareness Trends“ zeigt in klaren Schritten, welche einfachen Maßnahmen (z. B. Number‑Matching, Checklisten für Notfälle und Sensibilisierungsmaßnahmen) sofort helfen. Ideal für Privatpersonen und kleine Firmen, die praxisnahe Schutzmaßnahmen suchen. Jetzt E-Book „Cyber Security Awareness Trends“ gratis downloaden