Barclays und Volksbanken im Visier: Banking-Trojaner-Welle rollt

Die Vorweihnachtszeit wird zur Hochsaison für Cyberkriminelle. Während Millionen ihre letzten Geschenke online bestellen, schlagen Betrüger mit voller Wucht zu. Besonders perfide: Die Angriffe richten sich gezielt gegen Kunden der Barclays Bank, der Volksbanken Raiffeisenbanken und der Debeka.

Das Phishing-Radar der Verbraucherzentrale schlägt seit dem Wochenende Alarm. In nur 72 Stunden wurden massive E-Mail- und SMS-Kampagnen identifiziert, die mit täuschend echten Nachrichten sensible Zugangsdaten abgreifen wollen.

Seit dem 4. Dezember zirkulieren E-Mails mit dem Betreff „Dringend: Bestätigung Ihrer Kontaktdaten erforderlich”. Die Masche: Ein angebliches Sicherheitsupdate soll Kontosperrungen verhindern. Der Link führt direkt auf gefälschte Webseiten, die Login-Daten abfangen.

Passend zum Thema Smartphone- und SMS-Betrug: Viele Android-Nutzer bemerken gefälschte Paketlinks oder schadhafte Anhänge erst zu spät. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android – von Rechteprüfung über App‑Kontrolle bis zu sicheren Einstellungen für Banking und Shopping. Mit leicht verständlichen Schritt-für-Schritt-Anleitungen und Checklisten, damit Abo-Fallen und Schadsoftware keine Chance haben. Gratis Android-Sicherheits-Paket herunterladen

Noch ausgefeilter ist der Angriff auf die Volksbanken Raiffeisenbanken. Betrüger locken mit einem neuen „VR-Dashboard”, das ein besseres Nutzererlebnis verspricht. Kunden sollen ihre Geräteaktivierung für die VR-SecureGo Plus-App erneuern – eine glatte Lüge.

Die Warnung der Experten ist eindeutig: Keine Bank fordert per Link zur Eingabe von TANs oder Passwörtern auf. Niemals.

Klarna und Disney+ als weitere Köder

Neben klassischen Bankdaten haben es die Kriminellen auch auf Zahlungsdienstleister abgesehen. Seit Ende letzter Woche häufen sich gefälschte Klarna-Mails zur angeblichen Kontoaktualisierung. Bei Disney+ warnen Betrüger vor Abosperrungen, wenn Zahlungsdaten nicht sofort aktualisiert werden.

Der 18.000-Euro-Schock bei der Debeka

Besonders beunruhigend ist die Kombination aus gestohlenen Daten und Voice-Phishing. Die Debeka hat Anfang Dezember einen konkreten Fall öffentlich gemacht, der zeigt, wie professionell die Betrüger mittlerweile vorgehen.

Nach einem Datenleck nutzten Kriminelle echte Kundendaten für einen Anruf. Ein angeblicher IT-Sicherheitsmitarbeiter warnte vor verdächtigen Abbuchungen – und kannte sogar den Namen der Ehefrau des Opfers. Das schuf Vertrauen.

Der Kunde installierte Fernwartungssoftware und gab Transaktionen per Photo-TAN frei. Das Ergebnis: 18.317,15 Euro Schaden.

Die Debeka stellt klar: Echte Mitarbeiter fragen am Telefon niemals nach PINs oder fordern zur Installation von Fernwartungs-Apps wie AnyDesk oder TeamViewer auf.

Paket-SMS und QR-Code-Betrug explodieren

Parallel rollt eine breite Welle von Massenbetrug über Deutschland und Österreich. Das BSI und die Polizei warnen vor gefälschten Zustellnachrichten von DHL, DPD oder der Österreichischen Post. Die typische Masche: „Ihr Paket konnte nicht zugestellt werden. Bitte aktualisieren Sie Ihre Adresse.”

Diese Links führen zu Abo-Fallen oder installieren Schadsoftware auf Android-Smartphones. Der Cybersicherheitsmonitor 2025 des BSI belegt: 22 Prozent der Cybercrime-Opfer waren von Betrug beim Online-Shopping betroffen.

Quishing: Gefahr an Parkautomaten

Eine neuere Methode gewinnt im Dezember an Fahrt: das Quishing. Betrüger überkleben legitime QR-Codes an Parkautomaten oder E-Ladesäulen mit eigenen Codes. Wer diese scannt, landet auf gefälschten Zahlungsseiten.

Laut dem Report „Digital Banking Fraud Trends in Germany 2025″ ist Deutschland mittlerweile das zweithäufigste Ziel für Phishing-Angriffe weltweit. Fast 70 Prozent der Betrugsverluste entstehen über digitale Kanäle – Quishing wird als aufsteigende Bedrohung explizit genannt.

Warum die Angriffe jetzt so erfolgreich sind

Die aktuelle Eskalation ist kein Zufall. Experten sprechen von einer „Industrialisierung” der Cyberkriminalität:

• KI-Unterstützung: Phishing-Mails kommen in perfektem Deutsch. Stimmen können geklont werden, um bei Schockanrufen Verwandte zu imitieren.
• Psychologischer Druck: Gesperrte Konten, verlorene Pakete vor Weihnachten – die künstliche Dringlichkeit trifft auf kognitiv überlastete Nutzer.
• Datenhandel: Leaks wie bei der Debeka versorgen Kriminelle mit Namen, Telefonnummern und IBANs für personalisierte Angriffe.

Was 2026 bringt

Sicherheitsexperten erwarten, dass die Angriffswelle bis weit in den Januar anhält. Nach den Feiertagen verlagern sich die Maschen auf Themen wie Rückerstattungen, Steuerrückzahlungen oder Jahresabrechnungen.

Die Einführung von Echtzeitüberweisungen als Standard könnte das Risiko verschärfen – gestohlenes Geld ist kaum noch zurückzuholen. Das Smartphone ist nicht mehr nur Kommunikationsgerät, sondern der primäre Angriffsvektor auf die Finanzen.

So schützen Sie sich

• Installieren Sie keine Apps auf Zuruf
• Klicken Sie nicht auf Links in SMS – auch wenn Sie ein Paket erwarten
• Bei verdächtigen Bank-Mails: Loggen Sie sich immer über die bekannte Webadresse oder offizielle App ein, niemals über Links

Kein Wunder also, dass die Warnungen der Verbraucherschützer immer dringlicher werden. Die Frage ist nicht mehr, ob Sie ins Visier geraten – sondern wann.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – Tipp 3 schließt eine häufig unterschätzte Lücke. Der kostenlose Ratgeber liefert praktische Checklisten, erklärt, wie Sie QR-Codes und Paket‑SMS richtig prüfen, und zeigt einfache Einstellungen für sicheren Banking‑Zugriff auf Android-Geräten. Ideal, wenn Sie häufig online bestellen oder Bank-Apps nutzen. Jetzt 5 Schutzmaßnahmen downloaden