Storm-Malware und KI-Phishing knacken 2FA-Schutz

Eine neue Malware namens „Storm“ und raffinierte KI-Phishing-Angriffe machen die Zwei-Faktor-Authentifizierung (2FA) zunehmend wirkungslos. Sicherheitsexperten warnen vor einer massiv verschärften Bedrohungslage für Online-Banking und digitale Dienste. Die Angriffe kombinieren technische Raffinesse mit psychologischer Manipulation.

„Storm“-Malware stiehlt komplette Browser-Sitzungen

Sicherheitsforscher identifizierten kürzlich den Infostealer „Storm“. Diese Schadsoftware nutzt Sicherheitslücken in Browsern wie Chrome, Edge und Firefox aus. Ihr gefährlicher Trick: Sie stiehlt keine Einmal-Passwörter, sondern die kompletten Session-Cookies und Refresh-Token.

Angesichts von über 4,7 Millionen gehackten Online-Konten pro Quartal in Deutschland wird die herkömmliche Anmeldung mit Passwörtern immer riskanter. Dieser kostenlose PDF-Report zeigt Ihnen, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Co. endlich hacker-sicher machen. Sicher, bequem und passwortlos: Jetzt Gratis-Report sichern

Damit können Angreifer eine bereits angemeldete Sitzung des Opfers remote wiederherstellen. Das System erkennt keinen verdächtigen Login-Versuch – und fordert folglich keine erneute 2FA-Bestätigung an. Selbst physische Sicherheitsschlüssel bieten in diesem Szenario keinen Schutz mehr. Die Malware tarnt den Zugriff über Proxy-Server, die den Standort des Opfers vortäuschen.

KI-Stimmen und Telefon-Tricks: Die perfide Masche

Parallel dazu explodieren kombinierte Betrugsversuche per SMS und Telefon, sogenanntes Smishing und Vishing. Das Muster ist oft gleich: Eine gefälschte SMS warnt vor einer Kontosperrung. Kurz nach dem Klick auf den Link meldet sich ein angeblicher Bankmitarbeiter.

Unter Druck gesetzt, sollen Opfer dann Freigaben in Banking-Apps erteilen oder Codes vorlesen. Besonders tückisch ist der Einsatz von KI. Deepfake-Audio imitiert täuschend echt die Stimmen von echten Bankangestellten. Für Laien wird die Erkennung solcher Betrugsversuche damit nahezu unmöglich.

Commerzbank, Sparkasse und SumUp im Fadenkreuz

Verbraucherschützer warnen aktuell vor gezielten Kampagnen gegen Kunden großer Institute. Bei der Commerzbank locken Phishing-Mails mit dem Vorwand neuer Sicherheitsbestimmungen. Die nachgebauten Login-Seiten stehlen Zugangsdaten und Telefonnummern.

Sparkassen-Kunden erhalten gefälschte SMS zum „S-pushTAN“-Verfahren. Die Betrüger geben dabei oft technische Störungen der Bank als Grund an. Beim Zahlungsdienstleister SumUp zielen Angreifer auf Kleingewerbetreibende ab und fordern unter dem Deckmantel einer Verifizierung Zugang zu Geschäftskonten.

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – doch ohne die richtigen Vorkehrungen riskieren Sie Datenverlust und finanzielle Schäden. Erfahren Sie in diesem kostenlosen Ratgeber, mit welchen 5 einfachen Schutzmaßnahmen Sie Ihr Android-Smartphone sofort effektiv gegen Hacker und Viren absichern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen

Rechtsexperten sehen die Banken zunehmend in der Pflicht. Jüngste Urteile deuten an, dass Institute ungewöhnliche Transaktionsmuster erkennen müssen – selbst wenn der Kunde manipuliert wurde.

SMS-Codes sind nicht mehr sicher genug

Was können Verbraucher tun? Sicherheitsexperten raten dringend vom veralteten SMS-2FA ab. Diese Methode ist anfällig für Angriffe wie SIM-Swapping. Als sicherere Alternativen gelten Passkeys und FIDO2-kompatible Hardware-Token.

Diese sind an die physische Hardware und die spezifische Domain gebunden und damit resistenter gegen Phishing. Die goldene Regel bleibt: Seriöse Banken fordern niemals telefonisch TANs an oder drängen zur Installation von Software. Im Zweifel sofort auflegen und die Bank über die offizielle Rufnummer zurückrufen.

Biometrie soll Passwörter ablösen

Der Kampf gegen 2FA-Betrug ist global. Indiens Zentralbank führte gerade dynamischere Authentifizierungssysteme ein. Der Trend geht weg von starren Regeln hin zu adaptiver, risikobasierter Sicherheit.

Für die Zukunft prognostizieren Branchenexperten das Ende von Passwörtern und SMS-Codes. Stattdessen setzen sich biometrische Verfahren und verhaltensbasierte Authentifizierung durch. Systeme analysieren dann etwa das Tippverhalten, um Betrug in Echtzeit zu erkennen. Gleichzeitig steigen die regulatorischen Anforderungen, die Unternehmen zu besseren Abwehrmechanismen zwingen.

boerse | 69081445 |