HKMA warnt vor neuer Welle gefälschter Banken-Websites

Die Hongkonger Finanzaufsicht warnt vor einer neuen, hochprofessionellen Phishing-Welle, die Kunden mehrerer Großbanken bedroht. Betroffen sind unter anderem HSBC und DBS.

Die Hong Kong Monetary Authority (HKMA) hat am Montag einen dringenden Warnhinweis veröffentlicht. Demnach zielt eine neue Angriffswelle auf Kunden großer Finanzinstitute ab, darunter HSBC und DBS Bank (Hong Kong). Die Aufsicht identifizierte täuschend echte gefälschte Websites und Login-Masken, die sensible Kundendaten abgreifen sollen. Diese Warnung folgt auf einen ähnlichen Alarm vom vergangenen Freitag und deutet auf eine koordinierte Zunahme finanzieller Betrugsversuche zu Jahresbeginn hin.

So funktionieren die aktuellen Betrugsversuche

Im Zentrum der aktuellen Bedrohung stehen täuschend echte Nachbildungen offizieller Banken-Websites. Laut HKMA imitieren die betrügerischen Seiten die Internetbanking-Portale von HSBC und DBS täuschend echt. Das Ziel: Nutzer dazu zu bringen, ihre Anmeldedaten, Passwörter und sogar Einmalkennwörter (TANs) einzugeben.

Viele Android-Nutzer übersehen diese fünf einfachen Schutzmaßnahmen – ein Problem, das Smishing-Angriffe besonders ausnutzen, um Login‑Daten und TANs zu stehlen. Ein kostenloser Ratgeber erklärt Schritt für Schritt, welche Einstellungen Sie ändern sollten, welche Apps geprüft werden müssen und wie Sie verdächtige SMS sofort erkennen und melden. So schützen Sie Ihre Bankkonten und persönlichen Daten effektiv. Jetzt kostenloses Android-Sicherheits-Paket anfordern

Neben HSBC und DBS sind auch die Bank of East Asia (BEA), die Shanghai Commercial Bank, die Chong Hing Bank und die Chiyu Banking Corporation betroffen. Die schnelle Abfolge der Warnungen – die letzte kam erst drei Tage zuvor – legt eine breit angelegte Kampagne von Cyberkriminellen nahe. Sie nutzen offenbar die Zeit nach den Feiertagen, in der das Transaktionsaufkommen typischerweise hoch ist.

„Zero Trust“: Die goldene Regel gegen Phishing

Die HKMA bekräftigte in ihrer Stellungnahme erneut ihre strikte „Zero Trust“-Richtlinie für digitale Kommunikation. Die Kernbotschaft: Seriöse Banken versenden niemals SMS oder E-Mails mit eingebetteten Links, die Kunden zur Durchführung von Transaktionen auf ihre Websites führen.

Die Aufsicht stellt klar: Banken werden niemals sensible persönliche Informationen wie Login-Daten oder TANs per Telefon, E-Mail oder SMS anfordern. Diese Regel gilt seit Jahren als wichtigste Verteidigungslinie gegen Phishing. Sicherheitsexperten weisen jedoch darauf hin, dass die Angriffe immer raffinierter werden. Betrüger nutzen gefälschte Absenderkennungen, die in derselben Nachrichten-Thread wie legitime Bank-Benachrichtigungen erscheinen können.

Das sollten betroffene Kunden jetzt tun

Für Kunden, die befürchten, auf die betrügerischen Seiten hereingefallen zu sein, gilt: Sofort handeln. Die HKMA rät dazu, umgehend die eigene Bank zu kontaktieren. Die Kontaktdaten sind in den offiziellen Pressemitteilungen der betroffenen Institute zu finden.

Parallel sollten Betroffene den Vorfall bei der Hongkonger Polizei melden, konkret beim Crime Wing Information Centre unter 2860 5012. Solche Meldungen helfen nicht nur bei der möglichen Rückverfolgung von Geldern, sondern auch dabei, die Netzwerke der Betrüger zu analysieren. Cybersecurity-Firmen empfehlen zudem, Passwörter umgehend von einem sicheren Gerät aus zu ändern und, wo möglich, biometrische Authentifizierung zu aktivieren.

Hintergrund: Eine anhaltende Bedrohungslage

Die aktuelle Warnung ist kein Einzelfall, sondern Teil eines besorgniserregenden Trends seit Ende 2025. Der digitale Bankensektor in Hongkong sieht sich einer anhaltenden Flut von „Smishing“-Angriffen (SMS-Phishing) und Klon-Websites gegenüber.

Marktbeobachter vermuten, dass der Zeitpunkt der Angriffe – Anfang Januar – bewusst gewählt ist. Betrüger nutzen oft administrative Aufgaben zu Jahresbeginn wie Steuererklärungen oder Abo-Verlängerungen als Vorwand für dringend wirkende Betrugsnachrichten. Die gleichzeitige Zielung mehrerer Banken deutet zudem auf den Einsatz automatisierter „Phishing-as-a-Service“-Toolkits hin, die es Kriminellen erlauben, mit minimalem Aufwand parallele Kampagnen zu starten.

Ausblick: Der Kampf wird komplexer

Cybersicherheitsexperten prognostizieren für 2026 eine Zunahme KI-gestützter Phishing-Angriffe. Künstlich generierte Texte und geklonte Sprachaufnahmen könnten Betrugsversuche noch schwerer von echten Kommunikationen unterscheidbar machen.

Als Reaktion dürften Banken in den kommenden Wochen die Sicherheitshinweise in ihren Banking-Apps verstärken und erweiterte Verifizierungsmethoden einführen, wie etwa eine „App-to-App-Authentifizierung“, die SMS-TANs überflüssig macht. Bis dahin bleibt die Botschaft der HKMA klar: Jede Kommunikation kritisch prüfen, niemals auf Links in Nachrichten klicken und im Zweifel die Bank direkt über einen offiziellen Kanal kontaktieren. Die heutige Warnung ist eine erneute Mahnung, dass Wachsamkeit der Preis für digitale Bequemlichkeit ist.

PS: Phishing-Kampagnen werden immer ausgefeilter – von täuschend echten Klon‑Websites bis zu KI-generierten Nachrichten und CEO‑Fraud. Dieser kostenlose Anti‑Phishing‑Guide führt in vier klaren Schritten durch Erkennung, Prävention und Reaktionsmaßnahmen, inklusive Checklisten für Banken, Firmen und betroffene Kunden. Lernen Sie, wie Sie verdächtige Aktivitäten melden, mögliche Schäden begrenzen und Konten sichern. Anti-Phishing-Paket jetzt herunterladen