Eine raffinierte Phishing-Kampagne zielt gezielt auf die Sicherheitsverfahren der Commerzbank ab. Verbraucherschützer warnen vor betrügerischen SMS und E-Mails, die die photoTAN-Authentifizierung aushebeln sollen.
Seit Ende Januar 2026 häufen sich die Fälle. Die Angreifer versuchen nicht nur Anmeldedaten, sondern die entscheidenden Aktivierungsgrafiken für Transaktionen zu erbeuten. Damit könnten sie sich eigenen Gerätezugriff verschaffen.
So funktioniert der „photoTAN“-Betrug
Die Täter nutzen das Vertrauen in Zwei-Faktor-Authentifizierung (2FA) aus. Laut Verbraucherzentrale werden SMS und E-Mails verschickt, die einen dringenden Update-Bedarf für die „photoTAN-App“ oder ein „Sicherheitszertifikat“ vortäuschen.
Smishing- und photoTAN-Attacken sind keine Randerscheinung mehr – sie nutzen genau die Schritte, mit denen Konten geschützt werden sollen. Ein kostenloses Anti-Phishing-Paket erklärt in einer klaren 4-Schritte-Anleitung, wie Sie betrügerische SMS/Links erkennen, Aktivierungsgrafiken schützen und im Ernstfall richtig reagieren. Praktische Checklisten und Beispiele helfen sofort. Jetzt Anti-Phishing-Paket herunterladen
Die Nachrichten warnen vor einem angeblichen Ablauf der Registrierung oder drohen mit Kontosperrungen. Enthalten ist stets ein Link zu einer gefälschten Commerzbank-Website. Nach der Eingabe von Nutzername und PIN wird das Opfer aufgefordert, seine originale photoTAN-Aktivierungsgrafik hochzuladen oder zu scannen.
Genau hier liegt die Gefahr: Mit dieser Grafik können Kriminelle ein eigenes Gerät für das Konto des Opfers registrieren. Die 2FA-Sicherung ist damit ausgehebelt.
Warum dieser Angriff so gefährlich ist
„Diese Kampagne ist besonders kritisch, weil sie die Authentifizierungsmethode selbst angreift“, analysieren Sicherheitsexperten. Das photoTAN-System soll eigentlich TANs sicher auf dem registrierten Smartphone erzeugen. Wird die Aktivierungsgrafik gestohlen, können Angreifer ein Parallelgerät einrichten.
Sie sind dann in der Lage, Überweisungen zu autorisieren und Kontoeinstellungen zu ändern – oft, während der legitime Kontoinhaber ausgesperrt wird. Die Verbraucherzentrale warnt vor der typischen Drucktaktik: Die angebliche Frist von 24 bis 48 Stunden soll Nutzer in Panik versetzen und ihre Skepsis ausschalten.
So erkennen Sie die Betrugsversuche
Trotz professionell gestalteter Seiten gibt es klare Warnsignale:
- Druck und Drohungen: Echte Commerzbank-Mitteilungen drohen nicht per SMS mit sofortigen Kontosperrungen. Offizielle Bankkommunikation läuft über den gesicherten Posteingang im Online-Banking.
- Verdächtige Links: Die URLs nutzen oft Kurzlinks oder Domains, die nur leicht von der echten Adresse
commerzbank.deabweichen. - Abfrage der Aktivierungsgrafik: Die Commerzbank stellt klar: Sie fordert Kunden niemals auf, ihre photoTAN-Aktivierungsgrafik per E-Mail, SMS oder Online-Formular zu übermitteln. Diese Grafik dient ausschließlich der Erstinstallation auf dem eigenen Gerät.
Größerer Trend: Smishing auf dem Vormarsch
Die Attacke ist Teil einer Welle von Banken-Phishing zu Beginn des Jahres 2026. Auch Kunden der Postbank und DKB (Deutsche Kreditbank) sind laut Verbraucherzentrale betroffen – ein Hinweis auf koordinierte Angriffe.
Der Fokus auf Smishing (SMS-Phishing) zeigt eine strategische Anpassung der Cyberkriminellen. Während E-Mail-Filter immer besser werden, gilt der SMS-Kanal noch als vertrauenswürdiger. Künstliche Intelligenz hilft den Tätern zudem, Texte grammatikalisch und stilistisch zu verbessern. Die Fälschungen wirken dadurch täuschend echt.
Das sollten betroffene Kunden tun
Commerzbank und Verbraucherschützer raten: Verdächtige Nachrichten sofort löschen und keine Links anklicken.
Wer bereits Daten auf einer Phishing-Seite eingegeben hat, muss schnell handeln:
1. Bank kontaktieren: Umgehend die Notfall-Hotline der Commerzbank anrufen, um den Zugang sperren zu lassen.
2. Zugangsdaten ändern: Die PIN sollte umgehend über eine gesicherte, verifizierte Verbindung geändert werden.
3. Geräte überprüfen: In den Sicherheitseinstellungen prüfen und unbekannte, für photoTAN registrierte Geräte entfernen.
Die Verbraucherzentrale bittet darum, verdächtige E-Mails an phishing@verbraucherzentrale.nrw weiterzuleiten. Dies hilft, die betrügerischen Domains zu tracken und zu sperren.
Ausblick: Der Kampf um die Geräteregistrierung
Sicherheitsexperten rechnen damit, dass Angriffe auf 2FA-Einrichtungsprozesse 2026 weiter zunehmen werden. Während die Banken die Login-Verfahren härten, verlagern Kriminelle ihren Fokus auf die „Geräteregistrierung“.
In den kommenden Monaten könnten Finanzinstitute zusätzliche Verifikationsschritte für die Geräteaktivierung einführen. Bis dahin bleibt die wichtigste Verteidigungslinie die Wachsamkeit der Nutzer: Jede unaufgeforderte Aufforderung, Aktivierungsgrafiken oder Sicherheitscodes preiszugeben, sollte äußersten Misstrauen begegnen.
PS: Wenn Sie verhindern möchten, dass Angreifer Ihre photoTAN-Aktivierungsgrafik missbrauchen, hilft ein konkreter Maßnahmenplan. Das Anti-Phishing-Paket zeigt praxisnah, welche Schritte Sie sofort durchführen sollten – von der sicheren Prüfung verdächtiger SMS bis zur richtigen Kontaktaufnahme mit der Bank. Kompakte Checklisten erleichtern die Umsetzung. Jetzt Anti-Phishing-Paket sichern
