Deutsche Bank und Sparkasse warnen vor neuer Phishing-Welle

Eine massive Welle koordinierter Phishing-Angriffe erschüttert zum Jahresauftakt das Vertrauen deutscher Bankkunden. Kriminelle kombinieren gefälschte Bankdokumente, QR-Codes und WhatsApp zu einer hybriden Betrugsmasche, vor der Verbraucherschützer und Polizei eindringlich warnen.

Experten registrieren in dieser Woche einen drastischen Anstieg komplexer Betrugsversuche. Im Visier stehen aktuell Kunden der Deutschen Bank, der Sparkassen und der Consorsbank. Die Täter locken sie mit täuschend echten „Sicherheits-Updates“ oder angeblichen Steuererstattungen in die Falle.

Das herausstechende Merkmal ist der massive Einsatz von QR-Codes – ein Phänomen, das Sicherheitsexperten als „Quishing“ bezeichnen. Die Täter versenden digitale Dokumente per E-Mail oder sogar physische Briefe mit einem Code.

Der technische Trick ist simpel, aber effektiv: Sicherheitssoftware kann den Inhalt eines QR-Code-Bildes oft nicht sofort analysieren. Scannt ein Kunde den Code, landet er auf einer perfekten Fälschung der Login-Seite seiner Bank. Dort eingegebene Zugangsdaten landen in Echtzeit bei den Kriminellen.

Passend zum Thema Smartphone-Sicherheit: Viele Android-Nutzer übersehen genau diese 5 Schutzmaßnahmen – besonders bei WhatsApp-Nachrichten mit Links oder QR-Codes. Der kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie Ihr Android so einrichten, dass Banking-Apps, TAN-Eingaben und Messenger deutlich besser geschützt sind. Mit praktischen Checklisten, konkreten Einstellungen (ohne zusätzliche Apps) und Prüflisten für verdächtige QR-Codes und Links. Gratis-Sicherheitspaket für Android jetzt herunterladen

WhatsApp baut persönlichen Druck auf

Eine gefährliche Neuentwicklung ist die direkte Einbindung von WhatsApp in die Betrugskette. Nutzer erhalten Nachrichten von angeblichen „Bank-Support-Mitarbeitern“, die auf ein zugesandtes Dokument verweisen.

In anderen Fällen dient der Messenger zur Umgehung der Zwei-Faktor-Authentifizierung. Nachdem Opfer ihre Daten auf der Fake-Seite eingegeben haben, werden sie per WhatsApp kontaktiert. Unter dem Vorwand einer „Sicherheitsüberprüfung“ erschleichen sich die Betrüger dann TAN-Nummern. Diese persönliche Ansprache im Chat senkt die Hemmschwelle und baut künstlichen Zeitdruck auf.

Deutsche Bank und Sparkasse im Fadenkreuz

Seit dem ersten Werktag des Jahres rollt die koordinierte Angriffswelle über Deutschland. Kunden der Deutschen Bank erhalten Nachrichten über eine angebliche, dringende Aktualisierung ihres PhotoTAN-Verfahrens. Der Vorwand: Ohne sofortige Verifizierung drohe eine Kontosperrung.

Parallel warnt die Sparkassen-Finanzgruppe vor einer Flut gefälschter E-Mails. Diese werden im Namen des „Bundeszentralamts für Steuern“ versendet und versprechen eine vermeintliche Steuererstattung. Auch Consorsbank-Kunden waren am Dienstag betroffen – hier wurde das angebliche Ende des „SecurePlus“-Verfahrens als Köder genutzt.

Industrialisierte Cyberkriminalität

Die aktuellen Vorfälle markieren eine neue Stufe. Branchenbeobachter sehen eine deutliche Steigerung der Qualität im Vergleich zum Vorjahr. Die Kombination aus digitalen Messenger-Diensten und aktuellen Themen wie Steuererklärungen ist eine logische Weiterentwicklung.

Analysten deuten dies als Reaktion auf verbesserte E-Mail-Filter. Da textbasierte Phishing-Mails häufiger aussortiert werden, weichen Täter auf Bild-Elemente und alternative Kanäle wie WhatsApp aus. Die Angriffe sind hochgradig automatisiert: Phishing-Kits werden im Darknet als „Service“ verkauft.

So schützen Sie sich jetzt

Verbraucherschützer und Banken geben klare Handlungsempfehlungen:
* Scannen Sie niemals QR-Codes aus unaufgeforderten Nachrichten oder Briefen, ohne die Quelle zu prüfen.
* Banken fordern grundsätzlich nicht per WhatsApp oder E-Mail dazu auf, Daten über einen Link abzugleichen.
* Prüfen Sie verdächtige Nachrichten ausschließlich über die offizielle App oder Webseite Ihrer Bank – niemals über einen bereitgestellten Link.
* Im Schadensfall zählt jede Minute: Sperren Sie das Konto umgehend und erstatten Sie Anzeige bei der Polizei.

Sicherheitsexperten gehen davon aus, dass diese hybriden Angriffsformen in den kommenden Wochen weiter zunehmen werden – besonders zur anstehenden Steuer-Saison.

PS: Sie sind unsicher, ob eine WhatsApp-Nachricht oder ein QR-Code echt ist? Das kostenlose Android-Sicherheitspaket erklärt in klaren Schritten, wie Sie gefälschte Login-Seiten erkennen, welche Einstellungen Sie sofort ändern sollten und welche Notfall-Schritte (Kontosperrung, Anzeige) jetzt helfen. Inklusive einer kompakten Checkliste für den Ernstfall. Jetzt Android-Schutzpaket anfordern