Mobile-Banking-Betrug, Angriffswelle

Mobile-Banking-Betrug: Neue Angriffswelle trifft Online-Marktplätze

01.12.2025 - 17:59:12

Mobile-Banking-Betrug: Neue Angriffswelle trifft Online-Marktplätze - Foto: über boerse-global.de
Mobile-Banking-Betrug: Neue Angriffswelle trifft Online-Marktplätze - Foto: über boerse-global.de

Verbraucherschützer und Banken schlagen Alarm: Eine aggressive Betrugsmaschine zielt auf Nutzer von Kleinanzeigen und Vinted. Die Täter nutzen KI-generierte Nachrichten und gefälschte „Sicher Bezahlen”-Funktionen, um Konten in Echtzeit zu plündern. Ein aktueller Fall aus Innsbruck zeigt die Brisanz.

Heute meldete die Polizei Innsbruck einen exemplarischen Fall: Eine 67-Jährige verlor eine vierstellige Summe, nachdem sie auf einer Verkaufsplattform in eine Falle tappte. Die Täter täuschten Kaufinteresse vor und leiteten das Opfer über einen gefälschten Link auf eine täuschend echte Bank-Login-Seite.

Dies ist kein Einzelfall. Sicherheitsbehörden verzeichnen in den letzten 72 Stunden einen massiven Anstieg solcher Attacken. Die Kriminellen nutzen den Stress des Weihnachtsgeschäfts gnadenlos aus. “Die Angriffe sind nicht mehr von echter Kommunikation zu unterscheiden”, warnen Experten.

Betrüger kontaktieren Verkäufer Minuten nach dem Einstellen eines Artikels. In fließendem, oft KI-optimiertem Deutsch behaupten sie, die integrierte Bezahlfunktion der Plattform nutzen zu wollen.

Anzeige

Passend zum Thema Quishing und gefälschte Zahlungsseiten: Viele Android-Nutzer übersehen fünf einfache Schutzmaßnahmen, die genau diese Angriffe verhindern können. Unser kostenloses Sicherheitspaket erklärt Schritt für Schritt, wie Sie automatische Updates, App‑Prüfungen, QR‑Code‑Checks, sichere Browser‑Einstellungen und Backup‑Routinen einrichten – speziell für Verkäufer auf Kleinanzeigen und Plattformen wie Vinted. Sofort anwendbare Checklisten helfen, Push‑TAN‑Abfang und digitale Karten‑Missbrauch zu vermeiden. Gratis-Sicherheitspaket für Android herunterladen

Das Opfer erhält eine Nachricht – direkt im Chat oder per SMS –, dass die Zahlung eingegangen sei, aber noch bestätigt werden müsse. Ein Link führt auf eine gefälschte Webseite, die das Design von Zahlungsdienstleistern oder der eigenen Bank perfekt imitiert.

Die technische Raffinesse 2025:

  • Live-Phishing: Die Daten werden in Echtzeit auf der echten Bankseite eingegeben
  • Push-TAN Abfang: Das Opfer bestätigt eine Push-TAN, angeblich um den “Geldempfang” zu verifizieren – in Wahrheit autorisiert es damit die Überweisung an den Betrüger
  • Digitale Karten: Täter richten mit den abgegriffenen Daten digitale Debitkarten auf ihren eigenen Geräten ein

Quishing: Die QR-Code-Gefahr

Neben klassischen Phishing-Links beobachten Sicherheitsforscher eine Zunahme von Quishing (QR-Code-Phishing). Die angeblichen Käufer senden einen QR-Code als “Zahlungsbeleg” oder zur “Verifizierung”.

Da Sicherheitssoftware auf Smartphones QR-Codes in Bildern schlechter scannen kann als Textlinks, gelangen Nutzer ungehindert auf schädliche Seiten. Die Phishing-Nachrichten enthalten kaum noch grammatikalische Fehler – ein früheres Erkennungsmerkmal fällt weg.

KI-Modelle generieren kontextbezogene Antworten, die auf die spezifische Artikelbeschreibung eingehen. Das senkt das Misstrauen massiv. Banken wie Sparkasse und Barclays warnten Ende November vor Mails mit Betreffzeilen wie “Mahnverfahren” oder “Sicherheitsupdate”, die Nutzer unter Zeitdruck setzen.

Banken reagieren mit neuen Schutzmaßnahmen

Finanzinstitute und Plattformbetreiber haben neue Sicherheitsmechanismen implementiert:

  • Verhaltensbasierte Biometrie: Banking-Apps analysieren das Tippverhalten. Weicht das Muster während einer Transaktion ab, wird die Zahlung blockiert
  • Echtzeit-Warnungen: Vor der Freigabe einer Zahlung erscheint ein expliziter Hinweis bei verdächtigen Empfängerdaten oder Beträgen
  • Plattform-Intervention: Kleinanzeigen und Vinted setzen KI-Filter ein, um verdächtige Chat-Nachrichten mit externen Links automatisch zu blockieren

Trotz dieser Maßnahmen bleibt der Mensch das schwächste Glied. Die Polizei appelliert eindringlich: “Geben Sie niemals Bankdaten ein, um Geld zu empfangen. Zahlungen über ‘Sicher Bezahlen’ erfordern keine Login-Daten durch den Verkäufer.”

Rechtliche Grauzone für Opfer

Die Situation für Betrugsopfer ist oft schwierig. Während der Bundesgerichtshof Phishing-Opfer stärkte, argumentieren Banken bei freigegebenen Push-TANs oft mit “grober Fahrlässigkeit”.

Die Beweislast liegt beim Kunden. Er muss nachweisen, dass er getäuscht wurde und nicht fahrlässig handelte. Die neuen KI-gestützten Angriffe machen es für Laien jedoch fast unmöglich, den Betrug zu erkennen. Die Rufe nach besserem Verbraucherschutz und verschärfter Bankenhaftung werden lauter.

Was kommt als Nächstes?

Experten prognostizieren keine Entspannung bis Weihnachten. Es wird erwartet, dass Betrüger Paketdienstleister-Phishing (“Ihr Paket hängt fest”) mit Plattform-Betrügereien kombinieren werden.

Langfristig dürfte 2026 den Durchbruch für physische Sicherheitsschlüssel (FIDO2) im Endkunden-Banking bringen. Diese könnten Phishing technisch fast unmöglich machen.

Bis dahin bleibt gesundes Misstrauen der beste Schutz: Wer online verkauft, sollte auf der Plattform bleiben, keine QR-Codes von Fremden scannen und bei Zahlungsaufforderungen die Banking-App immer manuell öffnen – niemals Links folgen.

Anzeige

PS: Diese 5 Schutzmaßnahmen machen Ihr Smartphone spürbar sicherer – Tipp 3 schließt eine oft unterschätzte Lücke bei QR‑Codes. Der kompakte Gratis‑Ratgeber zeigt, welche Einstellungen in Android‑Apps und im Browser Sie sofort ändern sollten, wie Sie verdächtige Links erkennen und warum automatische Backups Leben retten können. Ideal für alle, die online verkaufen oder Zahlungen über Mobilgeräte abwickeln. Jetzt Android‑Sicherheits‑Paket kostenlos anfordern

@ boerse-global.de
Die besten Black Friday Angebote für