Cyber Monday: FBI meldet 262 Millionen Dollar Schaden

Online-Kriminelle greifen während des Shopping-Wochenendes mit neuer Präzision an. Das FBI registrierte seit Januar über 5.100 Fälle von Kontoübernahmen – die Zwei-Faktor-Authentifizierung wird systematisch ausgehebelt.

Das perfide System dahinter: Betrüger geben sich als Bankmitarbeiter aus. Sie verschicken zunächst SMS oder E-Mails über angeblich verdächtige Transaktionen. Kurz darauf folgt der Anruf eines vermeintlichen Kundenberaters. Die Masche funktioniert erschreckend gut: Unter dem Vorwand, eine betrügerische Überweisung stoppen zu müssen, entlocken die Täter ihren Opfern Login-Daten und Einmal-Passcodes. Sobald sie den Code haben, übernehmen sie das Konto vollständig.

QR-Codes, fingierte SMS und OTP‑Bots verwandeln Smartphones in Einfallstore für Kontoübernahmen – gerade an Shopping‑Wochenenden ist das Risiko hoch. Mit wenigen, praxisnahen Schritten lassen sich viele Angriffe verhindern: App‑Berechtigungen prüfen, QR‑Links vor dem Scannen kontrollieren, Zwei‑Faktor‑Alternativen nutzen und regelmäßige Backups einrichten. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Maßnahmen für Android‑Nutzer, inklusive Checkliste und Schritt‑für‑Schritt‑Anleitungen. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Die Verbraucherzentrale aktualisiert ihr Phishing-Radar fast täglich. Allein in den letzten 72 Stunden tauchten massive Angriffswellen auf:

ING-Kunden erhielten E-Mails mit der Aufforderung, ihre Daten zu aktualisieren. Bei Volksbanken Raiffeisenbanken setzten Betrüger auf extremen Zeitdruck: „Verifizierungsfrist läuft in Kürze ab” – wer nicht bis zum 28. November reagiere, dem drohe die Kontosperrung.

Besonders raffiniert: Gefälschte Mails zur Commerzbank PhotoTAN-App. Die Betrüger behaupten, die Sicherheits-App laufe ab und müsse reaktiviert werden. Ziel ist es, das Verfahren auf ein Gerät der Kriminellen umzuleiten.

Auch Streaming-Dienste stehen im Fokus. Am 26. November fluteten Phishing-Mails die Postfächer von Spotify-Nutzern – angebliche Kündigungen sollten zur Preisgabe von Kreditkartendaten verleiten.

QR-Codes als trojanisches Pferd

Sicherheitsexperten beobachten zwei technologische Trends, die die Erkennung massiv erschweren.

Quishing – QR-Code-Phishing – nimmt rapide zu. Die Logik dahinter ist simpel: E-Mail-Filter scannen Text, ignorieren aber oft Bilder. Betrüger packen ihre schädlichen Links in QR-Codes, getarnt als PDF-Anhänge mit Titeln wie „Wichtige Sicherheitsdokumente”. Wer den Code mit dem Smartphone scannt, landet auf einer täuschend echten Phishing-Seite – optimiert für mobile Bildschirme.

Noch ausgefeilter sind OTP-Bots. Diese automatisierten Systeme rufen Opfer an, sobald diese ihre Daten auf einer Fake-Seite eingegeben haben. Eine natürlich klingende Computerstimme bittet darum, den gerade per SMS empfangenen Code einzutippen – angeblich zur Identitätsbestätigung. In Wahrheit nutzt der Bot diesen Code in Echtzeit, um sich beim echten Dienst anzumelden.

KI macht Betrüger professioneller

Die Qualität der Angriffe hat sich drastisch verbessert. „Wir sehen kaum noch Phishing-Mails mit den früher typischen Grammatikfehlern”, berichten Analysten von Bitdefender. Generative KI-Tools ermöglichen fehlerfreie Texte in jeder Sprache.

Im Darknet werden komplette Phishing-Kits als „Phishing-as-a-Service” vermietet – inklusive OTP-Abfangmechanismen und gefälschter Bank-Webseiten. Cyberkriminalität wird demokratisiert.

Paket-Betrug als nächste Welle

Mit dem morgigen Cyber Monday endet die Gefahr nicht – sie verlagert sich. Experten prognostizieren für die kommenden Wochen einen Schwenk zum Paket-Betrug.

Da Millionen Menschen auf ihre Black-Friday-Bestellungen warten, dürften SMS-Nachrichten wie „Ihr DHL-Paket hängt im Zoll fest” oder „Adresskorrektur erforderlich” Hochkonjunktur haben. Die Empfehlung: Grundsätzlich keine Links in SMS anklicken. Den Sendungsstatus ausschließlich über die offiziellen Apps der Logistikdienstleister prüfen.

Für langfristige Sicherheit empfehlen Experten den Umstieg auf Passkeys nach FIDO2-Standard. Diese sind im Gegensatz zu Passwörtern und Einmal-Codes weitgehend resistent gegen Phishing-Angriffe.

PS: Sie erwarten Pakete und nutzen fürs Bezahlen Smartphone‑Apps? Dann sind solide Schutzmaßnahmen jetzt besonders wichtig. Unser Gratis‑Ratgeber zeigt kompakt, welche Einstellungen SMS‑ und QR‑Phishing abwehren, wie Sie OTP‑Bots erkennen und welche Routine Sie vor jeder angeblichen Paket‑SMS prüfen sollten. Perfekt für Online‑Shopper, die PayPal, Banking oder Streaming‑Dienste sicher nutzen wollen. Gratis-Sicherheitspaket für Android anfordern