Cyber Monday: Phishing-Attacken explodieren um 620 Prozent

Während Millionen Schnäppchenjäger heute auf Cyber-Monday-Deals lauern, schlagen Cybersecurity-Experten Alarm: Die Zahl raffinierter Banking-Bedrohungen erreicht Rekordniveau. Neue Daten vom Wochenende zeigen eine dramatische Zunahme von Phishing-Kampagnen – parallel dazu verbreitet sich ein gefährlicher Android-Banking-Trojaner in Europa.

Die Zahlen sind alarmierend: 620 Prozent mehr Phishing-Angriffe als noch Anfang November. Kriminelle nutzen gezielt die Shopping-Euphorie rund um Black Friday und Cyber Monday aus. Das zeigt eine Analyse des Cybersecurity-Unternehmens Darktrace vom 27. November.

Die Angreifer setzen dabei zunehmend auf künstliche Intelligenz. Sie imitieren große Einzelhändler täuschend echt – allen voran Amazon. Der Online-Riese wird in 80 Prozent aller erkannten Phishing-Versuche missbraucht, bei denen Marken vorgetäuscht werden.

Besonders perfide: Eine Kampagne der letzten 72 Stunden tarnt sich als “Deal Watchdogs”. Die betrügerischen E-Mails versprechen exklusive Rabatte auf Luxusgüter wie Rolex-Uhren und Louis-Vuitton-Handtaschen. Mit psychologischem Druck und künstlicher Verknappung (“Nur noch heute!”) locken die Kriminellen ihre Opfer auf gefälschte Shopping-Seiten.

Dort werden dann Kreditkartendaten und Banking-Zugänge abgegriffen. “Die schiere Menge an Angriffen ist beispiellos, aber die Präzision beunruhigt uns am meisten”, erklärt ein Darktrace-Analyst. “Die Betrüger verwenden authentische Marketing-Sprache und Design-Vorlagen, die von echten Händler-Mails kaum zu unterscheiden sind.”

Neuer Trojaner “Sturnus” hebelt Verschlüsselung aus

Während Phishing die E-Mail-Kanäle dominiert, bahnt sich im Mobile-Banking eine noch gefährlichere Bedrohung an. Sicherheitsforscher von ThreatFabric warnen vor Sturnus – einem Android-Trojaner, der derzeit europäische Banking-Nutzer ins Visier nimmt.

Passend zum Thema Android-Sicherheit: Viele Smartphone-Nutzer übersehen genau die Berechtigungen, die Sturnus und ähnliche Trojaner ausnutzen. Unser kostenloses Sicherheitspaket zeigt Ihnen die fünf wichtigsten Schutzmaßnahmen – mit klaren Schritt-für-Schritt-Anleitungen zum Prüfen von Bedienungshilfen, Absichern von WhatsApp/Telegram und sicheren Verhaltensweisen beim Online-Banking. Mit praktischen Checklisten schützen Sie Kontodaten, 2FA-Codes und Chat-Inhalte effektiv – ganz ohne teure Zusatz-Apps. Jetzt Android-Schutzpaket gratis anfordern

Anders als herkömmliche Banking-Malware geht Sturnus technisch deutlich raffinierter vor. Der Trojaner kann selbst moderne Sicherheitsmaßnahmen wie Ende-zu-Ende-Verschlüsselung umgehen.

So funktioniert der Angriff: Sturnus missbraucht die Bedienungshilfen-Dienste von Android, um Bildschirminhalte aus sicheren Messaging-Apps auszulesen. Betroffen sind Signal, WhatsApp und Telegram. Der Clou: Die Malware liest die Nachrichten erst, nachdem die App sie für den Nutzer entschlüsselt hat. So werden Verschlüsselungsprotokolle faktisch wertlos.

Das Ziel der Angreifer? Zweifaktor-Authentifizierungs-Codes (2FA), Banking-Passwörter und sensible Finanzdiskussionen in Chats. Aktuell konzentrieren sich die Kampagnen auf Süd- und Mitteleuropa. Experten warnen: Das modulare Design deutet auf eine baldige Ausweitung in andere Regionen hin.

Regierungen schlagen Alarm

Angesichts der eskalierenden Bedrohungslage reagieren Behörden mit dringenden Warnungen.

Monaco gibt Phishing-Warnung heraus: Am 27. November veröffentlichte die monegassische Regierung einen dringenden Appell. Betrüger geben sich als lokale Banken aus und versenden SMS sowie E-Mails, in denen sie behaupten, das Konto des Opfers sei gesperrt oder kompromittiert. Die Empfänger werden aufgefordert, über einen Link sofort zu handeln – der jedoch zu einem gefälschten Banking-Portal führt.

Die Cyber-Sicherheitseinheit betont: Keine seriöse Bank fordert Login-Daten per SMS an. Verdächtige Vorfälle sollten an cyber@gouv.mc gemeldet werden.

USA: Kritische Schwachstelle wird aktiv ausgenutzt: Die US-Cybersecurity-Behörde CISA warnte am 27. November vor einer kritischen Sicherheitslücke im Oracle Identity Manager. Das Tool wird von vielen Großkonzernen zur Verwaltung von Benutzerzugängen und Banking-Privilegien eingesetzt.

Die Schwachstelle (CVE-2025-61757) erlaubt es nicht authentifizierten Angreifern, Code aus der Ferne auszuführen – und damit tief in Firmennetzwerke einzudringen. Obwohl ein Patch verfügbar ist, zeigt die CISA-Warnung: Cyberkriminelle nutzen ungepatchte Systeme dieses Wochenende gezielt aus.

Der strategische Wandel zum “On-Device Fraud”

Die Bedrohungen durch Sturnus und “Deal Watchdogs” markieren eine strategische Verschiebung in der Cyberkriminalität: den Übergang zu On-Device Fraud (ODF).

“Wir beobachten eine Verlagerung von Server-seitigen Angriffen zur Client-seitigen Manipulation”, analysiert ThreatFabric. “Indem Angreifer das Gerät des Nutzers direkt über Bedienungshilfen kompromittieren, können sie Transaktionen durchführen, die für die Betrugserkennungssysteme der Bank legitim wirken – schließlich stammen sie vom vertrauenswürdigen Gerät des Kunden selbst.”

Diese Entwicklung macht traditionelle Betrugserkennungsmethoden wie IP-Geolokalisierung oder Device-Fingerprinting weitgehend wirkungslos. Banken müssen auf verhaltensbasierte Biometrie und aggressivere Transaktionsüberwachung umstellen.

Ausblick: Was kommt im Dezember?

Die Sicherheitsexperten rechnen mit anhaltend hoher Bedrohungslage bis Jahresende.

Post-Cyber-Monday-Betrug: Ab Dienstag, dem 2. Dezember, wird eine Welle von “Fehlgeschlagene Lieferung”- und “Bestellbestätigung”-Phishing-Mails erwartet. Zielgruppe: Verbraucher, die auf ihre Cyber-Monday-Pakete warten.

Ransomware-Risiken: Der kürzlich bekannt gewordene Hack von SitusAMC (einem großen US-Immobilientechnologie-Anbieter für Banken) am 25. November zeigt: Drittanbieter bleiben eine kritische Schwachstelle. Finanzinstitute werden ihre Lieferantenrisiko-Bewertungen vor Jahresende voraussichtlich verstärken.

KI-gestütztes Voice-Phishing: Nach dem Erfolg von KI bei Phishing-E-Mails prognostizieren Analysten einen Anstieg von “Vishing”-Attacken (Voice-Phishing). Dabei werden KI-geklonte Stimmen eingesetzt, um sich als Betrugsabteilung von Banken auszugeben – eine Taktik, die bereits in der Monaco-Kampagne beobachtet wurde.

So schützen Sie sich

E-Mail-Absender prüfen: Auf dem Smartphone den Absendernamen lange antippen, um die tatsächliche E-Mail-Adresse zu sehen.

Direktnavigation statt Klick: Bei “dringenden” Banking-Warnungen niemals Links folgen. Stattdessen die Banking-App direkt öffnen oder die URL manuell eingeben.

App-Berechtigungen kontrollieren: Android-Bedienungshilfen-Berechtigungen überprüfen und Zugriff für alle Apps entziehen, die ihn nicht zwingend benötigen.

Während die digitale Wirtschaft dieses Wochenende Milliarden an Transaktionen abwickelt, war der Kampf zwischen Bequemlichkeit und Sicherheit nie brisanter. Erhöhte Wachsamkeit bleibt bis zum Ende des Shopping-Wahnsinns unerlässlich.

PS: Diese 5 Maßnahmen machen Ihr Android spürbar sicherer – von Berechtigungs-Checks bis zur Absicherung verschlüsselter Messenger. Gerade nach der Verbreitung von Sturnus sollten Sie prüfen, welche Apps Zugriff auf Bedienungshilfen haben und wie Sie 2FA-Codes schützen. Holen Sie sich den kostenlosen Ratgeber mit konkreten Schritten und einer praktischen Checkliste für den Alltag. Gratis-Android-Schutzpaket herunterladen