Verbraucherschützer melden einen drastischen Anstieg komplexer Betrugsversuche. Kriminelle kombinieren Kleinanzeigen-Abzocke mit Angriffen auf Mobile-Banking-Apps. Die sogenannten Hybrid-Attacken zielen gezielt auf Nutzer von Plattformen wie Kleinanzeigen und Vinted ab.
Die perfide „Sicher Bezahlen“-Falle
Den größten Anteil an den Meldungen hat der Missbrauch der Funktion „Sicher bezahlen“. Ein vermeintlicher Käufer besteht auf den Treuhandservice der Plattform. Statt des offiziellen Prozesses erhält der Verkäufer jedoch eine Nachricht per SMS oder WhatsApp mit einem Link zur „Bestätigung“.
Dieser führt auf täuschend echte Phishing-Seiten. Dort werden Kreditkarten- oder Banking-Daten abgegriffen. Das Neue: Automatisierte Skripte lösen sofort Echtzeit-Transaktionen aus. Das Opfer wird parallel aufgefordert, eine Push-TAN in seiner Banking-App freizugeben – angeblich für den Zahlungsempfang. In Wahrheit autorisiert es damit eine Überweisung vom eigenen Konto.
„Ghost Tap“: Der Angriff auf das Smartphone
Noch beunruhigender ist eine technische Weiterentwicklung, die Sicherheitsforscher als „Ghost Tap“ bezeichnen. Dabei kapert Android-Malware die NFC-Funktion (Near Field Communication) des Smartphones.
Passend zum Thema Android-Sicherheit: Viele Nutzer übersehen genau die 5 Schutzmaßnahmen, die vor Ghost‑Tap‑Malware, manipulierten Zusatz‑Apps und gefälschten QR‑Links schützen. Der kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie App‑Berechtigungen prüfen, NFC absichern, verdächtige Links erkennen und Ihre Banking‑Apps schützen — inklusive praktischer Checkliste für sofortige Umsetzung. Gratis-Sicherheitspaket für Android herunterladen
Die Schadsoftware gelangt oft über infizierte Apps auf das Gerät, die als „notwendige Zusatz-Tools“ für Kleinanzeigen-Geschäfte beworben werden. Ist sie installiert, können Kriminelle die NFC-Daten einer physischen Bankkarte in Echtzeit an ein anderes Gerät weiterleiten. Sie können dann an Geldautomaten zahlen, als hätten sie die Karte selbst in der Hand.
Quishing und KI-Stimmen: Die psychologische Waffe
Betrüger setzen verstärkt auf psychologischen Druck durch neue Methoden. Im Trend liegt „Quishing“ (QR-Code-Phishing). Angeblich Käufer senden QR-Codes als Bilddatei im Chat. Viele Sicherheitsfilter scannen Bilder nicht, sodass der Code ungefiltert ankommt. Der Scan führt direkt auf die betrügerische Seite.
Parallel dazu warnen Experten vor „Vishing“ (Voice Phishing) mit KI-Stimmen. Nach dem Abgreifen erster Daten erhält das Opfer einen Anruf. Eine KI-generierte Stimme, die sich als Bankmitarbeiter ausgibt, fordert dazu auf, eine „verdächtige“ Transaktion zu stoppen. Tatsächlich wird das Opfer manipuliert, sie freizugeben. Die Qualität dieser Deepfake-Stimmen ist kaum noch von menschlichen Anrufern zu unterscheiden.
Wie reagieren Banken und Gerichte?
Die rechtliche Lage für Opfer ist schwierig. Banken argumentieren bei autorisierten Transaktionen oft mit „grober Fahrlässigkeit“, um die Haftung abzulehnen. Juristen erwarten bei den hochkomplexen Szenarien des Jahres 2026 jedoch differenziertere Urteile, besonders bei Angriffen durch Malware.
Die Finanzbranche reagiert bereits:
* Neobanken wie Revolut haben neue Sicherheitsfunktionen eingeführt. Diese erkennen, ob sich ein Nutzer während einer Transaktionsfreigabe in einem aktiven Telefonat befindet.
* Branchenbeobachter erwarten, dass traditionelle Banken mit ähnlichen Features nachziehen müssen.
Wie können sich Verbraucher schützen?
Für das erste Quartal 2026 rechnen Analysten nicht mit einem Rückgang der Angriffe. Die wichtigsten Schutzregeln für Verbraucher lauten:
* Brechen Sie jegliche Kommunikation ab, die die Verkaufsplattform verlässt.
* Ein Käufer benötigt nur Ihre IBAN – niemals Ihre E-Mail, Telefonnummer oder das Scannen eines QR-Codes.
* Öffnen Sie Ihre Banking-App niemals auf Aufforderung Dritter, egal wie seriös der Anrufer klingt.
* Seien Sie extrem misstrauisch gegenüber angeblichen „Zusatz-Apps“ für Zahlung oder Versand.
PS: Noch nicht sicher, ob Sie genug getan haben? Das kostenlose Sicherheitspaket zu den „5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ liefert zusätzliche Praxis‑Tipps, wie Sie WhatsApp‑Berechtigungen prüfen, Push‑TAN‑Freigaben besser absichern und QR‑Code‑Betrug sofort erkennen. Sie bekommen eine Schritt‑für‑Schritt‑Anleitung plus Checkliste zum Sofort‑Download per E‑Mail. Jetzt Android‑Schutzpaket kostenlos anfordern
