Sparkasse und Volksbank: Massive Phishing-Welle zur Black Week

Sparkassen- und Volksbank-Kunden werden derzeit massiv angegriffen. Gleichzeitig fluten Fake-Shops zum Black Friday die sozialen Medien. Verbraucherschützer schlagen Alarm.

Pünktlich zur diesjährigen Black Week erreichen Cyberkriminalität und Online-Betrug einen neuen Höhepunkt. Während Millionen nach Schnäppchen suchen, warnen Verbraucherzentralen und Banken heute vor einer koordinierten Phishing-Offensive. Im Fokus: Eine perfide “AGB-Falle” für Sparkassen-Kunden und eine technisch hochgerüstete Fake-Shop-Welle.

In den letzten 48 Stunden registrieren Sicherheitsbehörden einen massiven Anstieg betrügerischer E-Mails. Die beiden größten deutschen Institutsgruppen stehen im Visier der Kriminellen.

Bei der Sparkasse kursiert eine täuschend echte E-Mail-Welle. Der Vorwand: “Aktualisierte Allgemeine Geschäftsbedingungen (AGB)” erfordern sofortige Handlung. Besonders raffiniert: Die Mails drohen mit Kontosperrungen und setzen extrem kurze Fristen. Wer dem Link folgt, landet auf gefälschten Portalen, die Zugangsdaten und PushTAN-Freigaben abgreifen.

QR-Code-Phishing und manipulierte PushTAN-Anfragen zielen zunehmend auf Smartphone-Nutzer – ein falscher Scan kann Ihre Banking-App kompromittieren. Das kostenlose Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone, inklusive verständlicher Schritt-für-Schritt-Anleitungen zu App-Berechtigungen, sicheren Update-Einstellungen und dem Umgang mit QR-Codes. Ideal für alle, die regelmäßig mobil bankieren oder online shoppen und ihre Konten wirkungsvoll schützen möchten. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Parallel dazu warnt die Verbraucherzentrale vor Mails an Volksbank-Kunden mit dem Betreff “Verifizierungsfrist läuft in Kürze ab”. Die Masche: Eine angeblich notwendige Datenverifizierung verhindere die Kontosperrung. Auffällig sind fehlerhafte Button-Beschriftungen wie “Aktuell Daten überprüfen” – doch Design und persönliche Ansprache wirken auf den ersten Blick authentisch.

Quishing: QR-Codes als neue Waffe

Die Methoden entwickeln sich technisch weiter und zielen nun auf die Umgehung der Zwei-Faktor-Authentifizierung ab.

Ein gefährlicher Trend ist “Quishing” (QR-Code-Phishing). Bankkunden erhalten digitale Nachrichten oder sogar physische Briefe, die vorgeben, von ihrer Bank zu stammen. Diese enthalten einen QR-Code für ein angeblich wichtiges Sicherheitsupdate der PushTAN-App. Der Scan führt direkt auf eine mobile Phishing-Seite, die Sicherheitsmechanismen aushebeln soll.

Die Deutsche Bank warnt seit Anfang dieser Woche vor einer SMS- und E-Mail-Kampagne (“Bestätigen Sie Ihre Telefonnummer”). Ziel: Die Mobilfunknummern für das TAN-Verfahren zu kapern. Experten raten dringend: Scannen Sie niemals QR-Codes aus unangeforderten Nachrichten und verifizieren Sie Aufforderungen über die offizielle App oder per Anruf in der Filiale.

Fakeshop-Finder bekommt Social-Media-Funktion

Neben dem Banking-Sektor ist der Online-Handel das zweite große Einfallstor. Die Verbraucherzentrale NRW hat pünktlich zum Black Friday ein kritisches Update für ihren “Fakeshop-Finder” veröffentlicht.

Das Tool analysiert ab sofort auch Werbeanzeigen in Facebook und Instagram. Eine direkte Reaktion auf neue Taktiken: Kriminelle schalten kurzlebige, hochprofessionelle Werbeanzeigen für Fake-Shops, um Nutzer in die Falle zu locken, bevor die Shops gesperrt werden.

Die Betrüger nutzen die Rabattwoche aus und bieten vermeintliche Markenprodukte zu unrealistischen Tiefstpreisen an. Wer bestellt, verliert sein Geld und gibt oft zusätzlich Kreditkartendaten preis.

KI macht Phishing nahezu perfekt

Die aktuelle Bedrohungslage zeigt eine deutliche Professionalisierung. “Wir sehen kaum noch die klassischen Rechtschreibfehler, die früher als Warnsignal dienten”, erklären IT-Sicherheitsexperten. Stattdessen nutzen Angreifer zunehmend KI-gestützte Tools für fehlerfreie und rhetorisch überzeugende Texte.

Ein weiterer Trend ist “Call-ID Spoofing”. Nach dem Datenklau auf einer Phishing-Seite erhalten Opfer oft einen Anruf von einem angeblichen Bankmitarbeiter. Im Display erscheint die echte Nummer der Bank. Dieser Anruf dient dazu, das Opfer zur Freigabe einer TAN zu überreden. Diese Kombination aus technischer Manipulation und Social Engineering macht die Angriffe extrem effektiv.

Was jetzt zu erwarten ist

Für die kommenden Wochen bis Weihnachten rechnen Experten des BSI und der Verbraucherzentralen mit einer Verschiebung der Themen. Nach der Black Week werden voraussichtlich Paketdienst-Phishing (“Ihr Paket hängt beim Zoll”) und gefälschte Rechnungen dominieren.

So schützen Sie sich:
* Prüfen Sie Push-Benachrichtigungen der Banking-Apps genau
* Kontrollieren Sie bei jeder TAN-Freigabe Betrag und Empfänger
* Scannen Sie keine QR-Codes aus unangeforderten Nachrichten
* Nutzen Sie den Fakeshop-Finder bei Social-Media-Angeboten
* Im Zweifelsfall: Lieber einmal zu viel bei der Bank nachfragen

PS: Viele Phishing-Fallen starten über Social-Media-Fakeshops oder manipulierte QR-Codes — besonders gefährlich für Smartphone-Banking. Unser gratis Ratgeber zeigt die fünf einfachen Maßnahmen, mit denen Sie Ihr Android gegen Datenklau, gefälschte Links und schädliche Apps schützen. Mit praktischen Checklisten und sofort anwendbaren Tipps, um Fake-Shops und manipulierte Werbeanzeigen zu erkennen. Gratis Android-Schutzpaket anfordern