FBI schlägt Alarm: Banking-Trojaner umgeht WhatsApp-Verschlüsselung

Das FBI warnt vor einer gefährlichen Welle von Bankbetrug – und das ausgerechnet zur umsatzstärksten Shopping-Woche des Jahres. Zeitgleich entdeckten Sicherheitsforscher einen Android-Trojaner, der selbst verschlüsselte Nachrichten mitlesen kann. Was bedeutet das für deutsche Verbraucher in der Vorweihnachtszeit?

Die US-Bundespolizei spricht in ihrer heute veröffentlichten Warnung von einer regelrechten “Industrialisierung des Betrugs”. Über 5.100 Beschwerden gingen allein seit Januar bei der Internet-Beschwerdestelle IC3 ein. Der Schaden: umgerechnet 242 Millionen Euro. Die Masche ist perfide: Betrüger geben sich als Mitarbeiter der Hausbank aus und umgehen so selbst moderne Sicherheitssysteme.

Das Schema läuft fast immer gleich ab: Eine SMS oder ein Anruf, scheinbar von der Sparkasse oder Volksbank. Die Rufnummer wirkt echt, die Stimme professionell. “Verdächtige Aktivitäten auf Ihrem Konto”, heißt es dann. Zur Verifizierung brauche man nur kurz den Code aus der Banking-App.

Doch genau hier liegt die Falle. Multi-Faktor-Authentifizierung, eigentlich als Schutzwall gedacht, wird zum Einfallstor. Die Einmalcodes landen direkt bei den Kriminellen. Das FBI nennt diese Methode “Account Takeover” – faktisch die digitale Enteignung des Bankkontos.

Viele Android-Nutzer übersehen diese 5 wichtigsten Schutzmaßnahmen – besonders aktuell, weil Trojaner wie Sturnus sogar Messenger-Nachrichten und Einmalcodes auslesen können. Das kostenlose Sicherheitspaket erklärt Schritt für Schritt, wie Sie Ihr Android, WhatsApp, Telegram, Online-Banking und Zahlungs-Apps schützen: richtige App-Berechtigungen, Bedienungshilfen absichern, automatische Updates aktivieren und sichere Zwei‑Faktor‑Methoden. Mit praktischer Checkliste, sofort umsetzbaren Schritten und Tipps für PayPal & Co. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Besonders brisant: US-Senatorin Maggie Hassan meldete gestern einen Anstieg von Phishing-Mails um 2.000 Prozent. Betrüger imitieren Amazon, Walmart und andere Händler. Für Deutschland dürfte Ähnliches gelten – deutsche Ermittler beobachten regelmäßig parallele Entwicklungen.

“Sturnus”: Der Trojaner, der Telegram knackt

Während das FBI vor Telefonbetrug warnt, arbeiten Cyberkriminelle an der nächsten Eskalationsstufe. Der neu entdeckte Android-Trojaner “Sturnus” hebelt aus, was bisher als sicher galt: Ende-zu-Ende-Verschlüsselung bei WhatsApp, Signal und Telegram.

Die Technik dahinter ist raffiniert. Sturnus nutzt Android-Bedienungshilfen – eigentlich für sehbehinderte Nutzer gedacht – um Bildschirminhalte auszulesen. Das geschieht nach der Entschlüsselung auf dem Gerät, aber bevor der Nutzer die Nachricht sieht. Zweitfaktor-Codes aus Banking-Apps? Kein Hindernis mehr.

“Ein entscheidender Unterschied zu bisherigen Trojanern”, so Sicherheitsforscher in ihren Analysen vom Wochenende. “Die Verschlüsselung wird nicht gebrochen – sie wird einfach umgangen.” Aktuell zielt Sturnus vor allem auf europäische Banken. Deutsche Institute dürften auf der Liste stehen.

QR-Codes als Einfallstor

Zur klassischen Phishing-Mail gesellt sich eine neue Spielart: “Quishing”. Betrüger überkleben QR-Codes an Parkuhren oder drucken sie auf gefälschte Werbeplakate. Wer scannt, landet auf täuschend echten Nachbauten von Banking-Portalen.

In Dallas demonstrierten gestern Chase Bank und Polizei das Ausmaß der Gefahr. “Scannen Sie keine Codes aus unbekannten Quellen”, warnte Randy Rose vom Center for Internet Security. Ein Rat, der auch für deutsche Innenstädte gilt – die Masche schwappt regelmäßig über den Atlantik.

Hinzu kommt eine perfide E-Mail-Kampagne, die am 22. November entdeckt wurde. Die Absenderadresse lautet “rnicrosoft.com” – wobei das “rn” so eng gesetzt ist, dass es wie ein “m” aussieht. Selbst aufmerksame Nutzer fallen darauf herein.

Falsches Selbstvertrauen als Risiko

Eine heute veröffentlichte Umfrage der Royal Bank of Canada offenbart ein Paradox: 86 Prozent der Befragten trauen sich zu, Betrug zu erkennen. Gleichzeitig gibt jeder Vierte zu, bereits Opfer geworden zu sein.

“Betrüger nutzen die Jagd nach Schnäppchen gnadenlos aus”, erklärt Amit Sadhu von RBC. Besonders alarmierend: 21 Prozent der Käufer nehmen bewusst Risiken in Kauf, wenn unbekannte Webseiten Rabatte versprechen. Genau dieses Verhalten explodiert in der Vorweihnachtszeit.

Für deutsche Verhältnisse dürfte die Quote ähnlich liegen. Black Friday und Cyber Monday treiben das Online-Shopping auf Rekordhöhen – und damit auch die Opferzahlen.

KI macht Betrüger überzeugender

Das FBI weist explizit auf den Einsatz Künstlicher Intelligenz hin. Stimmklonen und automatisch generierte Gesprächsskripte machen Betrüger schwerer durchschaubar. Die Technik ist mittlerweile so ausgereift, dass selbst geschulte Bankmitarbeiter echte von falschen Anrufen kaum unterscheiden können.

Banken setzen als Gegenmittel zunehmend auf “Verhaltensbiometrie”. Statt SMS-Codes analysiert das System, wie jemand tippt oder wischt. Der Gedanke: Diese Muster lassen sich nicht so leicht nachahmen wie ein Einmalcode.

Für Verbraucher bedeutet das: SMS-basierte Zwei-Faktor-Authentifizierung gilt nicht mehr als sicher. Apps wie Google Authenticator oder Hardware-Token bieten besseren Schutz.

So schützen Sie sich konkret

Telefonanrufe: Bei angeblichen Bank-Anrufen sofort auflegen. Die Nummer auf der Rückseite der Karte anrufen – niemals Rückruffunktionen nutzen.

URLs genau prüfen: “rn” statt “m”, “vv” statt “w” – solche Tricks funktionieren. Im Zweifel die Adresse manuell eintippen.

QR-Codes meiden: Seriöse Unternehmen verschicken keine Login-Codes per E-Mail. An öffentlichen Orten aufgeklebte Codes ignorieren.

Smartphone aktualisieren: Android-Updates schließen Sicherheitslücken, die Trojaner wie Sturnus ausnutzen. Automatische Updates aktivieren.

Das Zeitfenster für Anpassungen ist eng. Experten rechnen damit, dass Sturnus-Varianten bald massenhaft im Umlauf sein werden. Wer jetzt handelt, erspart sich möglicherweise einen leeren Kontostand im Januar.

PS: Sie shoppen jetzt online? Schützen Sie Ihr Smartphone, bevor Betrüger per QR‑Code, Stimmklon oder Phishing-Zeitcode zuschlagen. Unser Gratis-Ratgeber zeigt die fünf wirksamsten Maßnahmen gegen Trojaner, Quishing und Kontoübernahme – ohne teure Zusatz-Apps. Leicht verständliche Anleitungen helfen Ihnen, in wenigen Minuten sichere Einstellungen vorzunehmen und Ihre Zahlungs-Apps abzusichern. Ideal für WhatsApp-, Telegram- und Online‑Banking‑Nutzer. Jetzt Gratis-Ratgeber: Android schützen