Phishing-Angriffe erreichen einen neuen Höchststand. Verbraucherschützer und das BSI warnen vor einer massiven Welle gefälschter Benachrichtigungen, die gezielt Smartphone-Nutzer und Online-Banking-Kunden attackiert. Die Täter geben sich als Behörden oder Banken aus und nutzen aktuelle EU-Regeln wie DAC8 und PSD3, um ihre Nachrichten glaubwürdig erscheinen zu lassen. Ihr Ziel: der Diebstahl von Finanzdaten und Krypto-Vermögen.
Banking, Online-Shopping oder WhatsApp – auf dem Smartphone sind unsere sensibelsten Daten gespeichert, die immer häufiger ins Visier von Kriminellen geraten. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Datendiebstahl und Schadsoftware schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
„Amtliches Schreiben“ lockt Krypto-Besitzer in die Falle
Eine der gefährlichsten aktuellen Kampagnen tarnt sich als Mitteilung des Bundeszentralamts für Steuern (BZSt). Die E-Mails mit dem Betreff „Amtliches Schreiben: Datenabgleich erforderlich“ behaupten, zur Vermeidung steuerlicher Konsequenzen sei eine kurzfristige Überprüfung der Krypto-Transaktionen nötig. Die Betrüger berufen sich dabei explizit auf die neue EU-Richtlinie DAC8.
Durch die Nennung konkreter Gesetze und den Einsatz offizieller Logos wirken die Nachrichten täuschend echt. Unter extremem Zeitdruck – die Frist beträgt oft nur fünf Werktage – sollen Opfer auf einen Link klicken. Dieser führt zu einer gefälschten Website, die Zugangsdaten zu Krypto-Börsen abgreift. Das BZSt stellt klar: Solche Datenabgleiche erfolgen niemals unaufgefordert per E-Mail mit Link.
Banken-Kunden sollen Sicherheits-Apps „erneuern“
Parallel dazu verzeichnen Sicherheitsbehörden einen sprunghaften Anstieg von Phishing-Versuchen im Bankensektor. Commerzbank-Kunden erhalten E-Mails, die eine angebliche Erneuerung der photoTAN-App fordern. Die Nachricht behauptet, die aktuelle Version laufe „morgen“ ab, und drängt zur sofortigen Bestätigung über einen externen Link.
Eine ähnliche Masche zielt auf Kunden der Volksbanken Raiffeisenbanken ab. Unter dem Vorwand eines „verpflichtenden Sicherheitsupdates“ für die VR SecureGo-App wird mit einer Kontosperrung gedroht, weil eine angebliche Frist verstrichen sei. Die Täter nutzen die Verunsicherung über reale gesetzliche Änderungen wie PSD3 aus. Auch Kunden der Comdirect und Deutschen Bank sind von ähnlichen Wellen betroffen.
QR-Codes und KI-Stimmen: Die nächste Angriffsgeneration
Die Betrugsmethoden werden immer raffinierter. Neben E-Mails etablieren sich hybride Angriffsformen. Beim sogenannten „Quishing“ platzieren Kriminelle manipulierte QR-Codes an Parkautomaten oder Ladesäulen. Scannen Nutzer den Code, landen sie auf gefälschten Zahlungsseiten.
Noch gefährlicher ist die Kombination mit KI-gestützten Anrufen, dem „Vishing“. Opfer erhalten zunächst eine SMS, dann klingelt das Telefon. Durch Caller ID Spoofing erscheint die Nummer der Hausbank. KI-gestützte Sprachimitationen machen die Anrufer kaum noch von echten Beratern unterscheidbar. Unter dem Vorwand einer „verdächtigen Transaktion“ fordern sie TANs oder Fernzugriff auf das Gerät.
So schützen Sie sich vor den gefälschten Nachrichten
Angesichts der hohen Qualität der Fälschungen raten Experten zu grundlegender Skepsis. Das zentrale Alarmzeichen ist fast immer künstlich erzeugter Zeitdruck. Seriöse Behörden und Banken setzen niemals Fristen von nur wenigen Tagen per E-Mail für sicherheitsrelevante Aktionen.
Da herkömmliche Sicherheits-Updates oft nicht ausreichen, um raffinierte Hacker-Angriffe abzuwehren, fordern immer mehr Anwender professionelle Unterstützung an. Das kostenlose Android-Sicherheitspaket bietet Ihnen kompakte Checklisten und Anleitungen, um Sicherheitslücken auf Ihrem Gerät systematisch zu schließen. Kostenlosen Android-Leitfaden jetzt anfordern
Verbraucherschützer empfehlen einen einfachen Grundsatz: Niemals auf Links in unaufgeforderten Nachrichten klicken. Prüfen Sie stattdessen den Kontostatus über die offizielle Website oder App Ihrer Bank. Achten Sie auf die Absenderadresse – hinter seriösen Namen verbergen sich oft kryptische E-Mail-Domains. Sollten Sie bereits Daten preisgegeben haben, handeln Sie sofort: Sperren Sie Konten und Karten über den Sperr-Notruf 116 116 und erstatten Sie Anzeige.
Warum neue Gesetze die Betrüger anlocken
Die aktuelle Intensität der Angriffe hängt direkt mit neuen EU-Regulierungen zusammen. Die Einführung von DAC8 für Krypto-Werte und die Umsetzung von PSD3 im Bankenwesen liefern den Tätern den perfekten Vorwand für ihre Betrugsversuche. Cyberkriminelle passen ihre Kampagnen gezielt an den realen Nachrichtenzyklus an.
Die Bedrohung trifft längst nicht mehr nur Privatpersonen. So warnte die IHK Karlsruhe kürzlich vor gefälschten E-Mails zur Aktualisierung von Unternehmensdaten, die sich auf die Gewerbeordnung beriefen. Phishing ist 2026 eine systemische Bedrohung für die gesamte digitale Infrastruktur. Der Einsatz von KI für fehlerfreie Texte macht die klassische Erkennung durch Sprachfehler obsolet.
Die nächste Stufe: Deepfake-Videoanrufe
Für die kommenden Monate erwarten Experten eine weitere Professionalisierung der Angriffe. Die nächste Eskalationsstufe könnten „Deepfake-Vishing“-Anrufe sein – Videoanrufe mit täuschend echten, KI-generierten Gesichtern von Bankberatern.
Technologieunternehmen arbeiten bereits an integrierten KI-Schutzschilden für Smartphones. Neue Betriebssystem-Versionen sollen noch in diesem Jahr verdächtige Sprachmuster in Echtzeit analysieren und vor Betrugsgesprächen warnen. Doch technische Lösungen allein werden nicht reichen. Die digitale Wachsamkeit der Nutzer bleibt der entscheidende Faktor im Kampf gegen die immer perfekteren Fälschungen.
