Banking-Trojaner: Angriffe um 196% gestiegen, 1,24 Mio. Fälle

Die Verbraucherzentrale warnt vor neuen Betrugsmaschen, die täuschend echt wirken.

Gezielte Angriffe auf PayPal und Microsoft

Die Verbraucherzentrale hat heute eine dringende Warnung veröffentlicht. Betrüger verschicken E-Mails, die angeblich von PayPal stammen. Die Nachricht: Der Kontozugriff sei eingeschränkt worden. Wer auf den Link klickt, landet auf einer gefälschten Anmeldeseite – und gibt seine Zugangsdaten preis.

Angesichts der steigenden Zahl täuschend echter Betrugsmails ist ein sicherer Umgang mit Bezahldiensten unerlässlich. Dieser kostenlose Ratgeber führt Sie Schritt für Schritt durch die sichere Einrichtung und Nutzung Ihres Kontos inklusive Käuferschutz-Tipps. PayPal-Startpaket jetzt kostenlos herunterladen

Die Masche ist nicht neu, aber die Qualität der Nachrichten steigt. Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI) raten: Niemals auf Links in solchen Mails klicken. Kontostände und Sicherheitsmeldungen gehören ausschließlich über die offizielle App oder durch manuelles Aufrufen der Website geprüft.

Parallel dazu nutzen Kriminelle eine Sicherheitslücke bei Microsoft aus. Sie versenden Phishing-Mails über offizielle Microsoft-Adressen. Nachrichten von msaccount@microsoft.com oder security@microsoft.com fordern zur Bestätigung der Zwei-Faktor-Authentifizierung auf. Weil die Absender legitim wirken, erkennen herkömmliche Filter sie kaum.

Microsoft bestätigte heute laufende Untersuchungen. Das Unternehmen arbeite an besseren Erkennungs- und Blockierungsmechanismen.

Banking-Trojaner: Explosiver Anstieg um 196 Prozent

Die Bedrohung beschränkt sich nicht auf Phishing. Im ersten Quartal 2026 stiegen die Fälle von Banking-Trojanern um 196 Prozent im Vergleich zum Vorjahr. Insgesamt registrierten Sicherheitsforscher rund 1,24 Millionen Vorfälle.

Besonders perfide: die „Trapdoor“-Kampagne. Experten von Human Security identifizierten 455 Android-Apps im Google Play Store. Getarnt als harmlose PDF-Reader wurden sie über 24 Millionen Mal heruntergeladen. Im Hintergrund generierten sie bis zu 480 Millionen manipulierte Werbeauktionen pro Tag. Google hat die Apps entfernt und Play Protect aktualisiert.

Über WhatsApp und Telegram verbreitet sich zudem die Malware „Cockroach Janta Party“. Sie späht Passwörter, SMS-Nachrichten und Bankdaten direkt vom Endgerät aus. Vor allem in Indien ist sie aktiv.

Da Banking-Trojaner und Spionage-Apps über Messenger wie WhatsApp immer häufiger sensible Daten direkt vom Smartphone abgreifen, ist ein aktiver Schutz entscheidend. IT-Experten empfehlen diese fünf konkreten Maßnahmen, um Ihr Android-Gerät effektiv vor Hackern und Datenmissbrauch abzusichern. Gratis-PDF: 5 Schutzmaßnahmen für Ihr Smartphone

Auch Entwicklerplattformen sind betroffen. Das Sicherheitsunternehmen Check Point entdeckte die Malware „GodLoader“, die sich über manipulierte Repositories auf GitHub verbreitet. Sie infizierte innerhalb weniger Monate über 17.000 Geräte – Windows, macOS, Linux, iOS und Android. Weil sie legitime Skriptsprachen der Godot-Engine nutzt, bleibt sie von traditionellen Sicherheitstools oft unentdeckt.

KI-gesteuerte Angriffe: 3,4 Milliarden Nachrichten täglich

Die Professionalisierung der Angreifer schreitet rasant voran. Branchenanalysten gehen davon aus, dass rund 86 Prozent aller Phishing-Kampagnen KI-gesteuert ablaufen. Das ermöglicht Kriminellen, täglich etwa 3,4 Milliarden betrügerische Nachrichten zu versenden. Sprachlich sind sie kaum noch von legitimen Schreiben zu unterscheiden.

Eine wachsende Bedrohung ist „Quishing“ – Phishing über manipulierte QR-Codes. Die Fallzahlen stiegen um 150 Prozent auf rund 18 Millionen Vorfälle.

Besonders perfide: Kriminelle nutzen Werbeplattformen für ihre Maschen. Im Mai 2026 erbeuteten sie über gefälschte Google-Anzeigen, die den Krypto-Dienst Uniswap imitierten, mehr als 400.000 US-Dollar. Die Anzeigen führten auf nahezu perfekte Klone der Originalseite – teilweise gehostet auf Google-eigenen Domains. Im März 2026 wurden über 350 solcher schädlichen URLs gesperrt. Der Gesamtschaden wird auf über 1,2 Millionen US-Dollar geschätzt.

Neue Sicherheitsstandards und Präventionsstrategien

Behörden und Unternehmen reagieren mit neuen Standards. Das BSI veröffentlichte im April 2026 die aktualisierten C5:2026-Kriterien für Cloud-Computing. Sie enthalten 168 Anforderungen in 17 Themenbereichen und adressieren erstmals Container-Management und Post-Quanten-Kryptografie. Ab dem 1. Juni 2027 werden sie für Cloud-Anbieter verbindlich.

Die Politik treibt die digitale Identität voran. Mit dem Digital Identity Act vom Mai 2026 wird der Weg für die europäische digitale Identität (EUDI Wallet) geebnet. Sie soll ab Januar 2027 verfügbar sein.

Microsoft schafft SMS-basierte Zwei-Faktor-Authentifizierungen ab und setzt auf biometrische Passkeys. Rund 5 Milliarden davon sind bereits im Einsatz. Apple verhinderte 2025 durch strikte App-Prüfungen Betrugsschäden in Höhe von 2,2 Milliarden US-Dollar. Der Konzern stoppte 1,1 Milliarden Versuche, betrügerische Konten zu erstellen. Von über 9 Millionen eingereichten Apps wurden rund 2 Millionen abgelehnt.

Der Faktor Mensch bleibt die größte Schwachstelle

Trotz aller Technik: Der Mensch bleibt das schwächste Glied. Besonders Senioren sind betroffen. Laut einer Studie des Instituts der deutschen Wirtschaft (IW) liegt das mittlere Nettovermögen von Rentnern bei knapp 140.000 Euro – der Durchschnitt der Gesamtbevölkerung bei etwa 103.000 Euro. Das macht sie zur bevorzugten Zielgruppe für Schockanrufe.

Anfang des Jahres wurde ein 92-Jähriger in Bad Salzuflen Opfer einer solchen Masche. Er übergab Gold und Schmuck im fünfstelligen Wert an Unbekannte. Die Polizei warnt eindringlich: Niemals Geld oder Wertsachen an Fremde aushändigen. Offizielle Stellen wie Staatsanwaltschaften oder die Polizei fordern niemals Kautionen in Bar oder Sachwerten an der Haustür.

Ausblick: Die Bedrohung bleibt

Die kommenden Monate werden von einer weiteren Konsolidierung der Sicherheitsstandards geprägt sein. Neue EU-Zollregeln ab Juli 2026 sollen Betrug bei Kleinsendungen aus Nicht-EU-Ländern eindämmen. Doch die Bedrohung durch hochspezialisierte Malware bleibt bestehen. Die Entdeckung der Sicherheitslücke CVE-2026-25262 in bestimmten Prozessor-Komponenten – sie gilt als nicht patchbar – zeigt die Komplexität der Aufgabe.

Für Verbraucher bleibt Wachsamkeit das wichtigste Instrument. Eine Kölnerin bemerkte erst Wochen nach der Nutzung einer gefälschten Park-App in Kopenhagen unbefugte Abbuchungen auf ihrem Konto. Weil eine Autorisierung durch den Nutzer vorlag, schlossen die Banken eine Erstattung aus.

Experten raten: Bei jedem digitalen Kontakt, der unter Zeitdruck oder psychologischem Stress erfolgt, misstrauisch bleiben. Im Zweifelsfall den offiziellen Sperr-Notruf 116 116 nutzen. Die fortschreitende Integration von KI in die Angriffsmodelle erfordert eine ebenso dynamische Weiterentwicklung der Abwehrsysteme – auf staatlicher und privater Ebene.

de | wissenschaft | 69424722 |