Mobile-Banking: KI-Phishing erreicht neue Dimension
Smishing und Quishing: Die neuen Angriffsmethoden
Eine neue Generation von Phishing-Angriffen nimmt deutsche Banking-Kunden ins Visier. Künstliche Intelligenz macht Betrugsversuche nahezu unkenntlich – und QR-Codes werden zur Waffe.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Verbraucherschützer schlagen Alarm. Die aktuelle Angriffswelle unterscheidet sich fundamental von bisherigen Phishing-Versuchen: Keine Rechtschreibfehler mehr, keine unpersönlichen Anreden, keine offensichtlich gefälschten Logos. Stattdessen täuschend echte Nachrichten, die selbst erfahrene Nutzer in die Falle locken.
Fast 70 % aller Betrugsverluste in Deutschland entstehen mittlerweile über digitale Kanäle. Das Land zählt weltweit zu den Hauptzielen von Phishing-Attacken – und die Kriminellen werden immer raffinierter.
Die klassische Phishing-Mail hat ausgedient. Betrüger setzen jetzt auf Smishing – Phishing per SMS. Die Masche: Eine Nachricht warnt vor einer angeblichen Kontosperrung oder fordert zur Sicherheitsüberprüfung auf. Der enthaltene Link führt auf eine perfekt nachgebaute Bank-Webseite.
Besonders perfide sind spezialisierte Banking-Trojaner. Diese fangen die per SMS empfangenen Transaktionsnummern (mTANs) direkt vom Smartphone ab und leiten sie an die Angreifer weiter.
Noch gefährlicher ist Quishing – Phishing via QR-Code. Die manipulierten Codes tauchen an Parkautomaten, auf Werbeplakaten oder in E-Mails auf. Ein einziger Scan genügt, um auf Phishing-Seiten zu landen oder Schadsoftware herunterzuladen.
“QR-Codes können im Gegensatz zu Links nicht automatisch von Antivirenprogrammen überprüft werden”, erklärt Digitalexpertin Alina Gedde von Ergo. Die Verbraucherzentrale berichtet von aktuellen Fällen bei Commerzbank-Kunden, die QR-Codes für angebliche Sicherheitsprüfungen hochladen sollten.
Anzeige: Übrigens — viele Angriffe schleusen Schadsoftware direkt aufs Handy oder locken per QR-Code auf gefälschte Banking-Seiten. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Schutzmaßnahmen für Android-Smartphones, mit einfachen Schritt-für-Schritt-Anleitungen gegen Trojaner, gefährliche Links und Datenklau. Schützen Sie WhatsApp, Online-Banking und Ihre persönlichen Daten jetzt. Gratis-Sicherheitspaket für Android anfordern
KI macht den Unterschied
Künstliche Intelligenz verleiht den Angriffen eine neue Qualität. Die Systeme generieren:
- Personalisierte Anreden mit korrekten Namen und Kundennummern
- Perfekte Nachahmungen von Bank-Logos und Corporate Design
- Simulierte Anrufe (Vishing) mit klonten Stimmen von Bankmitarbeitern
- Psychologischen Druck durch zeitlich begrenzte Drohungen
Diese Kombination aus technischer Perfektion und emotionaler Manipulation hebelt klassische Sicherheitsvorkehrungen aus. Nutzer handeln unüberlegt, wenn ihnen eine Kontosperrung innerhalb von 24 Stunden droht.
Banking-Apps: Sicher, aber nicht unverwundbar
Offizielle Banking-Apps gelten grundsätzlich als sicher. Mehrstufige Authentifizierung, biometrische Verfahren und das Zwei-Kanal-Prinzip schützen die meisten Transaktionen. Bei Sparkassen erfolgt die Freigabe beispielsweise über die separate S-pushTAN-App – ein Angreifer bräuchte theoretisch beide Passwörter plus physischen Zugriff aufs Smartphone.
Doch sobald Schadsoftware auf dem Gerät läuft, bricht dieses Schutzschild zusammen. Banking-Trojaner können die Kommunikation abfangen und PINs sowie TANs auslesen. Das BSI empfiehlt daher:
- Apps ausschließlich aus offiziellen Stores laden
- Betriebssystem stets aktuell halten
- Bei Jailbreak oder Root-Zugriff keine Banking-Apps nutzen
Deutschland im Visier der Cyberkriminellen
Rund 67 % der Deutschen nutzen Online-Banking – eine lukrative Zielgruppe für organisierte Kriminalität. 2024 verzeichnete Deutschland europaweit die vierthöchste Anzahl an Betrugsfällen. Der Schwarzmarkt für gestohlene Zahlungsdaten boomt, die Preise für deutsche Datensätze sind stark gestiegen.
Die neue EU-Verordnung für Echtzeitzahlungen (IPR) verschärft die Situation paradoxerweise. Analysen von BioCatch zeigen: Seit der Einführung schnellerer Überweisungen steigen auch die Betrugsfälle bei Sofortüberweisungen.
Banken reagieren mit branchenweiten Kooperationen und Informationsaustausch über neue Bedrohungen. Allerdings kritisieren Verbraucherschützer, dass Institute im Betrugsfall häufig grobe Fahrlässigkeit der Kunden unterstellen – und sich so aus der Verantwortung ziehen.
Was kommt als Nächstes?
Experten erwarten eine weitere Eskalation. Deepfake-Videos und Stimmklonung für täuschend echte Vishing-Anrufe stehen bereits in den Startlöchern. Die Technologie ist verfügbar, die kriminelle Energie vorhanden.
Banken investieren zunehmend in verhaltensbasierte Sicherheitsanalysen und KI-gestützte Betrugserkennung. Diese Systeme sollen verdächtige Muster in Echtzeit identifizieren – ein digitales Wettrüsten gegen die Angreifer.
Für Nutzer bleiben die Grundregeln entscheidend: Niemals auf Links in unaufgeforderten Nachrichten klicken. Keine PINs oder TANs per E-Mail oder SMS eingeben. Im Zweifel die Bank direkt über die offiziell bekannte Nummer kontaktieren – nicht über Kontaktdaten aus verdächtigen Nachrichten.
Eine gesunde Skepsis ist im digitalen Zeitalter keine Paranoia, sondern Selbstschutz.
Anzeige: PS: Sie wollen Ihr Android-Handy gezielt gegen Quishing, Smishing und Banking-Trojaner härten? Der kostenlose Ratgeber liefert praktische Checklisten und leicht umsetzbare Schritte, um Ihr Gerät sicherer zu machen — ideal für alle, die Online-Banking, PayPal oder Messenger nutzen. Jetzt kostenloses Android-Schutzpaket herunterladen
