Eine neue, aggressive Phishing-Welle greift derzeit Nutzer von Mobile-Banking-Apps in Deutschland an. Sicherheitsbehörden und Verbraucherschützer warnen vor einer zweistufigen Betrugsmasche, die psychologischen Druck mit technischer Raffinesse kombiniert. Im Fokus stehen nicht nur Zugangsdaten, sondern die direkte Freigabe von Transaktionen.
MFA-Bombing: Die Müdigkeits-Falle
Besonders perfide ist die Methode des MFA-Bombing (Multi-Factor Authentication Bombing). Dabei überfluten Angreifer das Smartphone des Opfers mit Dutzenden Push-Benachrichtigungen zur Transaktionsfreigabe. Das Ziel: die „Müdigkeit“ des Nutzers ausnutzen. Genervt oder in der Annahme eines technischen Fehlers, bestätigen viele schließlich eine Anfrage – und die Falle schnappt zu.
In dokumentierten Fällen folgt auf die digitale Bestätigung ein Anruf eines vermeintlichen Bankmitarbeiters. Dieser behauptet, das System spiele verrückt und man müsse die Anfrage in der App bestätigen, um das Konto zu sichern. Tatsächlich autorisieren die Betroffenen damit oft die Einrichtung einer digitalen Bankkarte auf dem Gerät der Betrüger oder geben eine Echtzeit-Überweisung frei.
MFA‑Bombing und fingierte Rückrufe sind kein Nischenproblem – sie führen zu echten Kontoverlusten und Identitätsmissbrauch. Das kostenlose Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie Push‑Flut, Call‑ID‑Spoofing und manipulierte Rückrufnummern erkennen und stoppen können. Es enthält praktische Checklisten für Privatnutzer, Formulierungsbeispiele für den Notfall und sofort umsetzbare Maßnahmen, mit denen Sie Angriffe schnell abwehren. Anti-Phishing-Paket jetzt herunterladen
Gezielte Angriffe auf DKB und Deutsche Bank
Die Täter gehen extrem zielgerichtet vor. Analysen zeigen, dass speziell Kunden der DKB und der Deutschen Bank ins Visier geraten.
- DKB-Kunden erhalten täuschend echte E-Mails zum Thema „deutsche Verifizierungsrichtlinien“. Kurze Fristen und Drohungen mit Kontosperrungen erhöhen den Druck.
- Deutsche-Bank-Kunden werden mit Mails zur „Kontobestätigung“ konfrontiert, die mit gesetzlichen Anforderungen argumentieren.
Die Qualität dieser Fälschungen ist mittlerweile so hoch, dass sie auf dem Smartphone-Bildschirm kaum noch von echter Bankkommunikation zu unterscheiden sind.
Die Rückruf-Falle bei FinTechs
Neben Hausbanken rücken Nutzer von FinTech-Plattformen und Neobanken in den Fokus. Hier setzen Kriminelle auf eine SMS-Masche: Die Opfer erhalten eine Nachricht über eine angebliche Auszahlung oder ein VideoIdent-Verfahren, das sie nicht initiiert haben.
Die verunsicherten Empfänger finden in der SMS eine Telefonnummer für einen „Rückruf zur Klärung“. Wer diese Nummer wählt, landet in einem professionellen Callcenter der Kriminellen. Die dortigen „Mitarbeiter“ sprechen oft akzentfreies Deutsch und manipulieren die Opfer zu „Testüberweisungen“ oder der Installation von Fernwartungssoftware.
Wie die Täter Vertrauen erschleichen
Ein Schlüsselelement ist das Call-ID-Spoofing. Kriminelle manipulieren die angezeigte Telefonnummer auf dem Display des Opfers. So erscheint die offizielle Hotline der Sparkasse oder sogar die „110“ der Polizei.
In Kombination mit bereits gestohlenen Daten aus früheren Leaks haben die Täter ein leichtes Spiel. Sie können dem Opfer am Telefon sensible Daten „zur Verifizierung“ vorlesen – und wirken damit absolut glaubwürdig.
So können Sie sich schützen
Angesichts der Raffinesse reicht es nicht mehr, nur auf Rechtschreibfehler zu achten. Experten raten zu einer strikten „Zero Trust“-Strategie bei unaufgeforderter Kontaktaufnahme.
- Keine Panik bei Push-Flut: Bei zahlreichen unerklärlichen Freigabe-Anfragen: Handy in den Flugmodus schalten oder ausschalten. Nie eine Anfrage „zur Beruhigung“ bestätigen.
- Rückruf-Regel: Bei verdächtigen SMS oder Anrufen: Gespräch sofort beenden. Die Nummer der Bank selbstständig heraussuchen (z.B. von der Kartenrückseite) und dort nachfragen. Niemals die Rückrufnummer aus der SMS nutzen.
- App-Hygiene: Bankgeschäfte nur über die offizielle App oder die direkt im Browser eingetippte Webadresse erledigen. Nie über Links aus Mails oder SMS.
Die Sicherheitslage bleibt dynamisch. Banken dürften in den kommenden Monaten weitere Sicherheitsmechanismen einführen. Bis dahin bleibt die gesunde Skepsis des Nutzers die wichtigste Firewall.
PS: Viele Betrugsfälle beginnen mit einer einzigen unbedachten Bestätigung in der Banking‑App. Der kostenlose Report erklärt, welche psychologischen Tricks (z. B. Zeitdruck, Wiederholungs‑Pushes) Täter aktuell nutzen, wie Sie verdächtige SMS sofort enttarnen und welche Fragen Banken niemals am Telefon stellen. Mit branchenspezifischen Hinweisen für DKB, Deutsche Bank und Neobanken sowie praktischen Prüfregeln für Anrufe. Jetzt Anti-Phishing-Guide sichern
