Europas Finanzinstitute schlagen Alarm: KI-gesteuerte SMS-Betrugswelle erreicht Rekordniveau. Kriminelle nutzen die Ablenkung der Feiertage für raffinierte Angriffe.
Die österreichische und irische Finanzbranche warnt eindringlich vor einer massiven Zunahme von SMS-Phishing-Angriffen. Der Verband österreichischer Banken veröffentlichte am 23. Dezember eine dringende Warnung. Betrüger überschwemmen demnach die Mobilfunknetze mit Nachrichten, die täuschend echt von Banken zu stammen scheinen. Sie behaupten gesperrte Konten oder verdächtige Transaktionen, die sofortige Bestätigung erforderten. „Die Täter erzeugen bewusst künstliche Dringlichkeit und nutzen täuschend echte Kontaktmethoden“, so der Verband. Besonders perfide: Die SMS-Angriffe werden oft mit professionellen Telefonanrufen kombiniert, bei denen sich die Kriminellen als Bankmitarbeiter ausgeben.
In Irland bestätigt sich der besorgniserregende Trend. Die Allied Irish Banks (AIB) melden, dass Smishing in den ersten zehn Monaten 2025 bereits 57 Prozent aller gemeldeten Betrugsfälle ausmachte. Die Banken sehen die „Ablenkung“ der Festtage als Hauptangriffspunkt. Gestresste Verbraucher klicken eher auf Links, ohne die Quelle zu prüfen.
KI generiert perfekte Fake-Lieferbenachrichtigungen
Die Bedrohung hat eine neue Qualität erreicht: Künstliche Intelligenz. Laut einem Bericht des Cybersecurity-Unternehmens Check Point vom Dezember ermöglichen KI-Tools nun fehlerfreie, lokalisierte Textnachrichten. Diese imitieren exakt den Ton und das Format vertrauter Marken wie DHL, UPS oder FedEx.
Die Daten sind alarmierend. Seit Mitte Dezember verzeichnet die Branche einen Anstieg gefälschter Lieferbenachrichtigungen um 100 Prozent im Vergleich zum Vorjahreszeitraum. Die Nachrichten treffen typischerweise genau dann ein, wenn Verbraucher Pakete erwarten. Sie behaupten eine „fehlgeschlagene Zustellung“ oder fordern eine „kleine Gebühr“ zur Freigabe.
„Die Integration von KI bedeutet, dass die Tage vorbei sind, an denen man Betrug an Tippfehlern oder schlechter Grammatik erkannt hat“, warnt ein Sicherheitsanalyst. Die automatisierten Systeme können nun tausende einzigartige, personalisierte Nachrichten gleichzeitig generieren. Herkömmliche Spam-Filter stehen damit vor großen Problemen.
Vom „Shoulder Surfing“ bis zum gestohlenen Gerät
Die Gefahr ist nicht nur digital. Die britische Großbank HSBC warnte diesen Monat vor einer hybriden Bedrohung: „Shoulder Surfing“ kombiniert mit Gerätediebstahl. Kriminelle beobachten demnach Opfer an belebten Orten wie Weihnachtsmärkten oder Bahnhöfen beim Eingeben ihrer PIN. Anschließend stehlen sie das physische Telefon.
Mit PIN und Gerät umgehen Betrüger biometrische Sicherungen in Banking-Apps. Das Opfer ist innerhalb von Minuten aus seinem digitalen Leben ausgesperrt. HSBC rät Kunden, ihr Mobilgerät mit derselben Vorsicht zu behandeln wie eine Brieftasche. Die PIN für die Banking-App sollte zudem niemals mit der Entsperrcode des Telefons identisch sein.
Die globale Dimension zeigt ein Blick nach Kenia. Dort haben sich die Verluste durch Mobile-Banking-Betrug 2024 nahezu vervierfacht. Die Zentralbank meldete am 24. Dezember Schäden in Höhe von umgerechnet rund 11 Millionen Euro. Die Warnung unterstreicht: Der Wandel zur mobilen Finanzwelt macht das Smartphone zum primären Ziel global organisierter Kriminalität.
Die „Ablenkungs-Ökonomie“ der Feiertage
Der Zeitpunkt der Angriffe ist kein Zufall. Cybersicherheitsexperten verweisen auf die „Ablenkungs-Ökonomie“ der Weihnachtszeit als kritische Schwachstelle. Zwischen Last-Minute-Einkäufen, Reiselogistik und Familienfeiern ist die Wachsamkeit der Verbraucher statistisch auf dem Jahrestief.
„Kriminelle wissen, dass die Menschen an Weihnachten und am zweiten Weihnachtsfeiertag an ihre Telefone gefesselt sind“, erklärt ein Betrugspräventionsspezialist. „Eine SMS mit dem Text ‚Ihre Zahlung von 500 Euro an Amazon war erfolgreich, klicken Sie hier zum Stornieren‘ löst eine Panikreaktion aus, die das kritische Denken umgeht.“
Die Branche kämpft zudem mit sogenannten „Sicher-Konto“-Betrügereien. Dabei überzeugen Betrüger – oft als Folge einer Smishing-SMS – ihre Opfer, dass deren Konto kompromittiert sei. Das Geld müsse sofort auf ein „sicheres“ Konto transferiert werden. AIB stellt fest, dass diese autorisierten Zahlungsbetrugsfälle (APP-Fraud) die häufigsten sind, auch wenn Investmentbetrug höhere Einzelverluste verursacht.
Ausblick 2026: Zero-Trust für mobile Sicherheit
Für das kommende Jahr erwartet die Bankenbranche eine beschleunigte Einführung von Zero-Trust-Maßnahmen für mobile Transaktionen. Dazu könnten gehören:
- Verhaltensbiometrie: Apps analysieren, wie ein Nutzer tippt oder das Telefon hält, um die Identität zu verifizieren – eine Ergänzung zu Passwörtern.
- Telko-Bank-Partnerschaften: Vertiefte Kooperation zwischen Mobilfunknetzbetreibern und Banken, um gefälschte Absenderkennungen (alphanumerische Tags wie „MeineBank“) auf Netzwerkebene zu blockieren.
- Physische Sicherheitsschlüssel: Hardware-basierte Authentifizierungsschlüssel für hochwertige Transaktionen könnten den Einsatz von SMS-Einmalpasswörtern (OTPs) reduzieren, die leicht abgefangen werden können.
Für die verbleibenden Feiertage raten Experten zu einer einfachen Regel: Nie klicken. Fordert eine SMS dringendes Handeln, sollten Verbraucher eigenständig ihre Banking-App öffnen oder die Nummer auf der Rückseite ihrer Karte anrufen – niemals die in der SMS angegebene.
