Sie geben sich als Mitarbeiter des Energieunternehmens EWZ aus – und übernehmen dann die vollständige Kontrolle über das Twint-Konto ihrer Opfer. Sicherheitsbehörden und Verbraucherschützer schlagen Alarm.
Die Masche ist mehrstufig und professionell inszeniert. Zuerst klingelt das Telefon. Auf dem Display erscheint die offizielle Nummer des EWZ-Kundenservice – doch das ist nur vorgetäuscht. Die Täter nutzen sogenanntes Spoofing.
Parallel zum Anruf schicken sie eine SMS mit einem Link. Wer darauf klickt, landet auf einer täuschend echten Fake-Website. Dort wird ein Verifikationscode verlangt, den das Opfer wenig später per SMS erhält.
Anzeige: 24 Prozent der Deutschen wurden bereits Opfer von Digitalbetrug – die Maschen werden immer professioneller. Mit diesem kostenlosen Leitfaden erhalten Sie eine Checkliste mit 5 Sofortmaßnahmen und eine Schritt-für-Schritt-Anleitung für mehr Sicherheit. Jetzt kostenlosen Schutzleitfaden anfordern
Doch dieser Code ist kein Sicherheitsmerkmal. Er autorisiert die Übertragung des Twint-Kontos auf ein neues Gerät. Haben die Betrüger ihn einmal eingegeben, können sie das Konto kapern und beliebige Zahlungen auslösen.
Die Kantonspolizei Zürich rät: Bei unerwarteten Anrufen sofort auflegen. Im Zweifel die offizielle Nummer des Dienstleisters selbst zurückrufen.
Betrug wird immer professioneller
Die EWZ-Masche ist kein Einzelfall. Sie steht für eine allgemeine Zunahme digitaler Angriffe auf hohem Niveau. Ramona Pop, Chefin des Verbraucherzentrale Bundesverbands (vzbv), stellt klar: Einfache Aufklärung reicht nicht mehr. Die Maschen seien so professionell, dass Laien sie kaum noch erkennen.
Die Schufa beziffert die wirtschaftlichen Schäden: 45 Prozent der Betrugsopfer verloren zwischen 100 und 1.000 Euro. Bei 13 Prozent lag der Schaden zwischen 1.000 und 10.000 Euro. Sechs Prozent büßten sogar mehr als 10.000 Euro ein. Insgesamt gaben 24 Prozent der Befragten in Deutschland an, bereits Opfer von Internetbetrug geworden zu sein.
WhatsApp-Phishing, Fake-Rechnungen, Droh-Mails
Neben der EWZ-Masche gibt es weitere spezialisierte Kampagnen. Bitdefender Labs warnt vor Phishing-Angriffen via WhatsApp, die sich gezielt an Reisende richten. Die Täter nutzen korrekte Buchungsdaten wie Namen und Aufenthaltszeiträume. Unter dem Vorwand einer notwendigen Kreditkartenverifizierung locken sie ihre Opfer auf täuschend echte Webseiten.
Das Bundeszentralamt für Steuern warnt vor gefälschten E-Mails an Krypto-Investoren. Darin wird mit massiven Geldstrafen von bis zu 500.000 Euro gedroht. Die Behörde stellt klar: Steuerliche Kommunikation erfolgt grundsätzlich nicht per E-Mail.
In Münster berichtet die Polizei über gefälschte Rechnungen, die angeblich vom Amtsgericht stammen und Unternehmen zur Zahlung von rund 900 Euro auffordern.
Neue Schutzmechanismen und Aufklärung
Anzeige: Die aktuelle EWZ-Masche zeigt: Betrüger übernehmen per Spoofing die Kontrolle über Ihr Twint-Konto. Finanzielle Verluste von über 10.000 Euro sind möglich. Erfahren Sie in diesem Ratgeber, wie Sie sich mit Zwei-Faktor-Authentisierung und Passkeys effektiv schützen. Sicherheits-Ratgeber jetzt kostenlos herunterladen
Die Technologiekonzerne reagieren. Google bringt im Juni 2026 eine Echtzeit-Betrugserkennung für Android-Smartphones, die verdächtige Muster bei Anrufen und Nachrichten identifizieren soll. International gibt es regulatorische Schritte: Australien führt zum 1. Juli 2026 ein verpflichtendes Register für SMS-Absenderkennungen ein – das soll das Fälschen von Markennamen in Kurznachrichten erschweren.
Für den 24. Juni 2026 haben Verbraucherzentralen und Polizei eine bundesweite Aufklärungsoffensive im Rahmen des Digitaltags angekündigt. In Online-Formaten geht es um aktuelle Phänomene wie Quishing – Betrug mittels gefälschter QR-Codes – und den Einsatz von KI bei Deepfake-Werbeanzeigen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Verbrauchern zur Nutzung von Zwei-Faktor-Authentisierungen und Passkeys. Das erhöht die Sicherheit digitaler Konten erheblich.
