Call-ID Spoofing: Kriminelle kapern digitale Bankkarten per Telefon

Eine neue Betrugsmasche trifft deutsche Bankkunden mit voller Wucht. In den letzten 72 Stunden melden Polizeidienststellen und Banken einen massiven Anstieg hochkomplexer Angriffe. Die Täter kombinieren Call-ID Spoofing – die Manipulation der angezeigten Telefonnummer – mit der unautorisierten Freischaltung digitaler Bankkarten für Apple Pay oder Google Pay.

Die Methode ist perfide: Während die Opfer am Telefon mit vermeintlichen Bankmitarbeitern sprechen, übernehmen Kriminelle ihre digitale Identität auf eigenen Smartphones. Innerhalb von Minuten können sie tausende Euro abbuchen.

Die aktuelle Welle erreichte laut Polizei Trier am gestrigen Freitag einen vorläufigen Höhepunkt. Opfer berichten übereinstimmend: Auf ihrem Display erschien tatsächlich die offizielle Rufnummer ihrer Bank oder sogar die “110” der Polizei.

Viele Android-Nutzer übersehen diese 5 wichtigsten Schutzmaßnahmen – gerade bei Banking‑Apps und mobilen Zahlverfahren. Ein kostenloses Sicherheitspaket erklärt Schritt für Schritt, welche Einstellungen Sie sofort prüfen sollten, wie Sie App‑Berechtigungen, automatische Updates und Push‑Benachrichtigungen richtig konfigurieren und welche Checkliste hilft, unberechtigte Freischaltungen zu verhindern. Praxisnahe Anleitungen machen auch technisch weniger versierten Nutzern das Absichern ihres Geräts leicht. Jetzt gratis Android-Schutzpaket sichern

Die Täter bauen innerhalb von Sekunden Vertrauen auf. Sie geben sich als Sicherheitsabteilung aus und warnen vor verdächtigen Abbuchungen oder einem notwendigen Update. Das Perfide: Die Kriminellen kennen bereits Namen, Geburtsdaten und teilweise sogar aktuelle Kontoumsätze ihrer Opfer – vermutlich erbeutet durch Phishing oder Darknet-Datenlecks.

“Die technische Täuschung ist so ausgereift, dass selbst misstrauische Menschen hereinfallen”, erklärt ein Sprecher des Landeskriminalamts.

So funktioniert der digitale Raubzug

Der Angriff zielt nicht auf klassische Überweisungen ab, sondern auf das Provisioning einer digitalen Karte auf dem Gerät der Täter. Der Ablauf folgt einem klaren Muster:

Der Vorwand: Falsche Bankmitarbeiter behaupten, eine unberechtigte Transaktion müsse gestoppt oder das Konto für ein neues Sicherheitssystem verifiziert werden.

Die Falle: Das Opfer soll eine Push-Nachricht in der Banking-App bestätigen oder eine TAN durchgeben.

Die Realität: Was als “Stornierung” oder “Update” getarnt ist, autorisiert technisch eine neue digitale Karte auf dem Smartphone des Betrügers.

Sobald die Freigabe erteilt ist, haben die Täter vollen Zugriff. Sie belasten das Konto via Apple Pay oder Google Pay an Supermarktkassen, Tankstellen oder in Online-Shops – oft bis zum Verfügungslimit. Da die Karte digital vorhanden ist, benötigen sie für einzelne Zahlungen keine weitere PIN oder TAN.

Tausende Euro Schaden binnen Minuten

Die Polizei im Großraum Bitburg-Wittlich meldete gestern konkrete Fälle mit Schäden im vierstelligen Bereich. In diesen Fällen behaupteten die Anrufer, sie seien die “Vertretung” des echten Bankberaters – und nutzten dessen Namen, um letzte Zweifel auszuräumen.

Sparkassen, Volksbanken und Direktbanken wie die DKB haben ihre Warnhinweise drastisch verschärft. In den Sicherheitsportalen wird explizit betont: Mitarbeiter fragen niemals am Telefon nach einer Freigabe für digitale Karten.

Einige Banken diskutieren technische Gegenmaßnahmen. Eine “Abkühlphase” würde neu digitalisierte Karten erst nach 24 Stunden voll einsatzfähig machen. Doch diese Maßnahme ist noch nicht Standard.

Wer haftet für den Schaden?

Lange lehnten Banken Erstattungen ab und verwiesen auf “grobe Fahrlässigkeit” der Kunden. Doch hier zeichnet sich eine Wende ab.

Jüngste Urteile, wie eine Entscheidung des Amtsgerichts Eberswalde, stärken die Rechte der Verbraucher. Gerichte erkennen zunehmend an: Wenn auf dem Display die Banknummer steht und der Anrufer interne Details kennt, kann einem Laien kein Vorwurf der groben Fahrlässigkeit gemacht werden.

Rechtsanwälte raten Betroffenen:

• Keine Schuldanerkennung gegenüber der Bank abgeben
• Sofortige Sperrung aller Zugänge über Notruf 116 116
• Strafanzeige erstatten und explizit das Spoofing zu Protokoll geben

Die nächste Stufe: KI-generierte Stimmen

Experten blicken besorgt auf die kommenden Monate. Während das aktuelle Spoofing “nur” die Telefonnummer manipuliert, steht die nächste Evolutionsstufe vor der Tür: AI Voice Cloning.

Kriminelle werden bald künstliche Intelligenz nutzen, um Stimmen echter Bankberater oder Familienangehöriger täuschend echt zu imitieren. Die Erkennung für Verbraucher würde nahezu unmöglich.

Analysten fordern für 2026 eine Abkehr von SMS/TAN-Authentifizierung hin zu biometrischen Verhaltensanalysen, die erkennen, ob ein Nutzer unter Stress steht oder untypische Eingabemuster zeigt.

Die wichtigste Regel: Auflegen und selbst zurückrufen

Das Smartphone ist längst zum digitalen Tresorschlüssel geworden. Banken fordern proaktiv niemals telefonisch zu Handlungen in der App auf.

Wenn Ihre Bank anruft und Handlungsbedarf besteht: Legen Sie auf. Suchen Sie die Nummer Ihrer Filiale selbst heraus und rufen Sie zurück. Nutzen Sie niemals die Rückruffunktion oder die zuletzt angezeigte Nummer.

Nur so lässt sich die technische Illusion des Spoofings durchbrechen. Gesundes Misstrauen ist derzeit der beste Schutz – auch wenn die Nummer auf dem Display vertraut aussieht.

PS: Diese 5 Schutzmaßnahmen machen Ihr Smartphone spürbar sicherer – und reduzieren das Risiko, dass Betrüger per Spoofing oder manipulierten Freigaben Kontozugriffe erhalten. Der kostenlose Ratgeber liefert eine praktische Checkliste, erklärt Schritt für Schritt App‑Einstellungen, sichere Bestätigungs‑Verfahren, sinnvolle Update‑Regeln und wie Sie verdächtige Telefonanrufe sofort richtig einordnen. Holen Sie sich die leicht verständlichen Anleitungen per E‑Mail und sichern Sie Ihr Gerät gegen die aktuell häufigsten Angriffsvarianten. Jetzt kostenloses Sicherheitspaket anfordern