Die Zahl der Betrugsversuche über mobile Endgeräte steigt massiv. Angreifer nutzen SMS (Smishing) und E-Mails, um unter dem Vorwand von Behördenmitteilungen oder Steuerrückzahlungen an sensible Bankdaten zu kommen.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Gerät mit 5 einfachen Maßnahmen effektiv vor Hackern und Datenmissbrauch schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Behörden im Visier
In Spanien warnte das nationale Institut für Cybersicherheit (INCIBE) Ende Mai vor einer großangelegten Kampagne. Die Täter missbrauchen den Namen der Steuerbehörde AEAT. Sie versenden SMS, die eine Steuerrückzahlung versprechen und zu gefälschten Webseiten mit Endungen wie .top oder .click führen. Dort sollen Opfer ihre Bankdaten eingeben. Die AEAT stellte klar: Sie fordert grundsätzlich keine sensiblen Daten per SMS an.
Ähnliche Muster zeigen sich in den USA. Die Verkehrssicherheitsbehörde NHTSA warnt vor gefälschten Nachrichten wegen angeblicher Verkehrsverstöße. Betrüger geben sich am Telefon, per E-Mail oder SMS als Regierungsmitarbeiter aus. Sie fordern Zahlungen für fingierte Strafzettel. In Connecticut und Arizona erschienen Bürger bereits aufgrund gefälschter Vorladungen vor Gericht.
In Deutschland melden Verbraucherzentralen vermehrt Phishing-Versuche im Namen der AOK. Versicherte werden unter dem Vorwand einer Identitätsprüfung für das Portal „Meine AOK“ gedrängt, ihre Online-Banking-Zugangsdaten auf betrügerischen Seiten preiszugeben. Bei Nichtbeachtung droht die Sperrung des Kontos.
Android im Fadenkreuz
Die Angreifer professionalisieren sich. Das Sicherheitsunternehmen Kaspersky meldet einen Anstieg der NFC-basierten Angriffe auf Android-Geräte um 188 Prozent im Vergleich zum Vorjahreszeitraum. Im Zentrum steht das Phishing-Kit „Lighthouse“, das in über 120 Ländern Passwörter und Codes für die Zwei-Faktor-Authentifizierung stiehlt.
Die Infrastruktur dahinter ist hochdynamisch. Angreifer rotieren innerhalb von acht Tagen rund 25.000 Domains, um Sicherheitsfiltern zu entgehen. In Nordrhein-Westfalen wurden konkrete Schadensfälle bekannt. In Hamm verloren Kunden von American Express und der Sparda-Bank Beträge im fünfstelligen Bereich durch Smishing-Attacken.
Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle, die es gezielt auf Android-Nutzer abgesehen haben. Erfahren Sie in diesem kostenlosen Experten-Report, wie Sie Sicherheitslücken schließen und Ihr Gerät durch die richtigen Updates dauerhaft absichern. Kostenlosen Android-Sicherheitsratgeber herunterladen
Neue Schutzmechanismen
Die Industrie reagiert auf die Anfälligkeit klassischer Mobilfunk-Kommunikation. Microsoft kündigte Ende Mai an, die SMS-basierte Verifizierung für private Konten einzustellen. Grund sind Risiken wie SIM-Swapping. Nutzer sollen auf Passkeys oder Authenticator-Apps umsteigen.
Auch Google zieht nach. Der Browser Chrome erhält sogenannte „Device Bound Session Credentials“ (DBSC). Sie erschweren den Diebstahl von Sitzungs-Cookies. Angreifer können so aktive Nutzersitzungen nicht mehr übernehmen, selbst wenn sie Zugriff auf die Anmeldedaten haben.
KI-gestützte Betrugsmethoden
Neben klassischem Phishing gewinnen KI-gestützte Methoden an Bedeutung. Das FBI registrierte für 2025 in den USA einen Gesamtschaden von über 893 Millionen Euro durch Betrug mit manipulierten Stimmen. Kriminelle inszenieren damit Notfallszenarien täuschend echt.
Die Einstiegswege für Datenverstöße verschieben sich. Ein aktueller Branchenbericht zeigt: 31 Prozent der Vorfälle werden durch Software-Sicherheitslücken initiiert – das hat den Diebstahl von Passwörtern als häufigste Ursache abgelöst. Mobile Phishing-Versuche weisen zudem eine um 40 Prozent höhere Klickrate auf als Angriffe auf Desktop-Systeme.
Schwierige Rechtslage
Für Betroffene bleibt die Rechtslage schwierig. Das Landgericht Karlsruhe bestätigte im Mai 2026 ein erhebliches Verlustrisiko für Zahler. Ein Rentner hatte nach einer manipulierten Rechnung über 100.000 Euro für Goldbarren auf ein falsches Konto überwiesen. Er behielt gegenüber dem Verkäufer seine volle Kaufpreisschuld. Das Gericht sah keine Verletzung des Datenschutzes durch den Zahlungsempfänger, die einen Schadenersatzanspruch rechtfertigen würde.
