Millionen kompromittierte Konten: Betrüger jagen Online-Shopper

Die Vorweihnachtszeit 2025 entwickelt sich zum Eldorado für Cyberkriminelle. Allein in den vergangenen 48 Stunden haben Sicherheitsforscher und US-Behörden mehrfach Alarm geschlagen: Eine massive Welle automatisierter Angriffe bedroht Millionen Online-Käufer weltweit.

Die Zahlen sind erschreckend. Über 1,57 Millionen kompromittierte Zugangsdaten von E-Commerce-Plattformen, 18.000 neu registrierte Shopping-Domains mit Weihnachtsbezug – davon mindestens 750 nachweislich kriminell. Was steckt hinter diesem beispiellosen Ansturm auf arglose Schnäppchenjäger?

FortiGuard Labs veröffentlichte heute, am 9. Dezember, alarmierende Analysen zur aktuellen Bedrohungslage. Die Cybersecurity-Spezialisten sprechen von einer “nie dagewesenen Beschleunigung” automatisierter Attacken. Besonders perfide: Kriminelle haben in den vergangenen drei Monaten über 19.000 Domains registriert, die bekannte Einzelhändler imitieren.

Die gefälschten Online-Shops sind vom Original kaum zu unterscheiden. Betrüger setzen auf “Typosquatting” – bewusst eingefügte Rechtschreibfehler in URLs bekannter Marken. Ein fehlender Buchstabe, ein zusätzlicher Bindestrich – schon landen Käufer auf professionell gestalteten Fake-Seiten.

Viele Android-Nutzer verwenden ihr Smartphone für Online-Einkäufe — und übersehen dabei leicht Sicherheitslücken, die Fake-Shops und automatisierte Bots ausnutzen. Ein kostenloses Praxis‑Paket erklärt die 5 wichtigsten Schutzmaßnahmen für Android: sichere Einstellungen, App‑Prüfung, Update‑Routine, sichere Zahlungswege und Backup‑Tipps. Mit klaren Schritt‑für‑Schritt-Anleitungen schließen Sie Lücken, bevor Kriminelle zugreifen können. Jetzt gratis Sicherheitspaket für Android herunterladen

“Bedrohungsakteure planen diese Kampagnen strategisch, um während der umsatzstärksten Wochen maximale Erträge zu erzielen”, erklären die Forscher. Die Vorbereitung beginnt Monate vor Black Friday und Cyber Monday.

FBI warnt vor Kontoübernahmen

Die US-Bundespolizei FBI schlägt ebenfalls Alarm. Seit Jahresbeginn gingen beim Internet Crime Complaint Center (IC3) über 5.100 Beschwerden wegen sogenannter Account-Takeover-Angriffe ein. Der Schaden: mehr als 220 Millionen Euro.

Das FBI startete am 5. Dezember die Kampagne “Take a Beat” – zu Deutsch: “Mach eine Pause”. Die Botschaft ist simpel, aber wirkungsvoll: Wer zu spontanen Zahlungen oder der Preisgabe persönlicher Daten aufgefordert wird, sollte innehalten und die Quelle überprüfen.

Die Methoden der Kriminellen werden raffinierter. Sie geben sich als Bankmitarbeiter oder Kundendienst aus, um Opfer zur Herausgabe von Einmalpasswörtern zu bewegen. Manche kaufen sogar Werbeplätze bei Suchmaschinen, damit ihre Phishing-Seiten ganz oben in den Suchergebnissen erscheinen.

“Secret Santa Dog” entpuppt sich als Schneeballsystem

Nicht alle Betrugsmaschen sind hightech. Über soziale Netzwerke verbreitet sich aktuell die “Secret Santa Dog”-Masche viral. Das Versprechen klingt verlockend: Wer ein kleines Geschenk für zehn Euro an einen Fremden schickt, soll mehrere Präsente für sein Haustier zurückerhalten.

Die Better Business Bureau warnt eindringlich: Hinter solchen angeblichen Geschenketausch-Aktionen stecken illegale Schneeballsysteme. Sie sind mathematisch zum Scheitern verurteilt und dienen vor allem einem Zweck: dem Abgreifen persönlicher Daten.

“Teilnehmer geben unwissentlich ihre Wohnadresse und persönliche Details an unbekannte Akteure weiter”, so die Verbraucherschützer. Was harmlos beginnt, kann mit Identitätsdiebstahl enden.

KI macht Betrug perfekter

Künstliche Intelligenz verändert die Spielregeln grundlegend. Eine aktuelle Umfrage aus Großbritannien zeigt: 73 Prozent der Online-Käufer haben konkrete Angst vor KI-gestützten Betrugsversuchen.

Und die Sorge ist berechtigt. Betrüger nutzen KI, um täuschend echte Produktbilder zu generieren, fehlerfreie Phishing-Mails zu verfassen und sogar Stimmen zu klonen. Die klassischen Warnsignale – Rechtschreibfehler, schlechte Bildqualität – funktionieren nicht mehr zuverlässig.

Die britische Santander Bank reagierte kreativ auf diese Entwicklung. Anfang Dezember startete sie eine Kampagne mit absichtlich gefälschten, KI-generierten Produktanzeigen. Das Ziel: Verbraucher für die neuen Gefahren sensibilisieren.

Automatisierung erreicht neue Dimension

Sicherheitsexperten von Kasada sehen 2025 als Wendepunkt: “Die Grenze zwischen menschlichem und automatisiertem Traffic ist faktisch verschwunden.”

Kriminelle verkaufen vorgefertigte Skripte für Credential-Stuffing-Angriffe bereits Wochen vor großen Shopping-Events. Diese Programme testen blitzschnell Millionen gestohlener Benutzername-Passwort-Kombinationen gegen Login-Seiten von Händlern.

Die Infrastruktur steht, bevor die meisten Käufer überhaupt an Weihnachtsgeschenke denken. Kein Wunder also, dass FortiGuard Labs von 1,57 Millionen kompromittierten Zugangsdaten spricht.

Steuerbehörde warnt vor falschen “Sondererstattungen”

Auch die US-Steuerbehörde IRS meldete sich gestern zu Wort. Betrüger würden die Feiertage nutzen, um gefälschte E-Mails und SMS zu versenden. Der Köder: angebliche “Weihnachtssteuervorteile” oder “vorzeitige Steuerrückzahlungen”.

Die Links in diesen Nachrichten führen zu Phishing-Seiten, die Sozialversicherungsnummern und Kontodaten abgreifen sollen. Die Masche nutzt geschickt die Jahresendstimmung, in der viele Menschen ihre Finanzen ordnen wollen.

Was nach Weihnachten kommt

Experten rechnen mit einer Verschiebung der Betrugsmuster nach den Feiertagen. Der Fokus wird sich auf “Post-Transaktions-Betrug” verlagern: gefälschte Lieferbenachrichtigungen und Rückerstattungs-Scams.

Dabei geben sich Kriminelle als Händler aus und bieten Erstattungen für angeblich nicht zugestellte Pakete an. Natürlich benötigen sie dafür “zur Bearbeitung” die Bankverbindung des Opfers.

So schützen Sie sich:

• Tippen Sie Website-Adressen manuell ein, statt Links in E-Mails zu folgen
• Misstrauen Sie Zeitdruck – seriöse Unternehmen drängen nicht zu sofortigen Zahlungen
• Nutzen Sie Kreditkarten statt Direktüberweisungen – sie bieten besseren Schutz
• Verfolgen Sie Pakete ausschließlich über offizielle Händler-Apps oder Carrier-Websites
• Melden Sie Betrugsversuche sofort den zuständigen Behörden

Die Botschaft ist klar: In diesem Weihnachtsgeschäft gilt mehr denn je – Augen auf beim Online-Kauf.

PS: Gerade jetzt, wo Phisher und Fake-Shops Hochsaison haben, hilft ein konkreter Leitfaden, Zahlungsdaten und Konten zu schützen. Das gratis Android-Schutzpaket zeigt, wie Sie Phishing-Links erkennen, betrügerische Lieferbenachrichtigungen entlarven und Ihre Zahlungsmethoden sicher konfigurieren – inklusive einer praktischen Checkliste für den Alltag. Schützen Sie sich vor Account-Übernahmen und automatisierten Angriffen. Gratis Android-Schutzpaket anfordern