Mobile Banking: Neue Phishing-Welle umgeht Biometrie und 2FA

Raffinierte Cyberangriffe erschüttern das Vertrauen in Banking-Apps. Kriminelle nutzen psychologische Tricks, um biometrische Verfahren und Zwei-Faktor-Authentifizierung auszuhebeln.

Eine neue Welle ausgeklügelter Phishing-Angriffe stellt die Sicherheit von Mobile-Banking-Apps auf die Probe. Verbraucherschützer und Sicherheitsforscher warnen aktuell vor verfeinerten Taktiken, die etablierte Schutzmechanismen gezielt umgehen. Im Fokus stehen psychologisch raffinierte Methoden, die Nutzer zur unbeabsichtigten Freigabe von Transaktionen verleiten.

MFA-Bombing: Die Flut der Benachrichtigungen

Besonders perfide ist die Methode des „MFA-Bombing“. Dabei nutzen Betrüger gestohlene Zugangsdaten, um die Banking-App des Opfers mit einer Flut von Push-Benachrichtigungen zu überfluten. Das Ziel: Den Nutzer durch die Masse an Anfragen zu ermüden, bis er versehentlich eine betrügerische Transaktion bestätigt.

Auf die Freigabe folgt oft ein Anruf eines angeblichen Bankmitarbeiters. Unter dem Vorwand, einen Fehler zu beheben, wird das Opfer zu weiteren Bestätigungen überredet. In Wahrheit autorisiert es damit die Einrichtung einer digitalen Bankkarte für die Betrüger.

Banken und Kunden sind zunehmend Ziel psychologisch ausgefeilter Phishing-Angriffe wie MFA‑Bombing, die klassische 2FA‑Mechanismen aushebeln. Aktuelle Analysen zeigen, dass Push‑Fluten und gefälschte Support‑Anrufe besonders effektiv sind und hohe finanzielle Schäden verursachen. Das kostenlose Anti‑Phishing‑Paket liefert eine praxisnahe 4‑Schritte‑Anleitung, erklärt psychologische Angriffsmuster und zeigt konkrete Abwehrmaßnahmen für Banken, IT‑Teams und Endnutzer – inklusive Checklisten und Präventions‑Tipps. Sichern Sie sich den Gratis‑Report jetzt. Jetzt Anti-Phishing-Paket herunterladen

Gefälschte Mails im Bank-Design

Parallel laufen hochprofessionelle Phishing-Kampagnen. Kürzlich wurden gefälschte E-Mails und SMS im Namen von Instituten wie der Commerzbank und Advanzia Bank registriert. Die Nachrichten imitieren das Corporate Design täuschend echt und fordern unter Androhung einer Kontosperrung zur Preisgabe sensibler Daten auf – etwa zur angeblichen Aktivierung des photoTAN-Verfahrens.

Biometrie: Der bequeme blinde Fleck

Die biometrische Authentifizierung per Fingerabdruck oder Gesichtserkennung schützt das Gerät effektiv. Doch die neuen Angriffe hebeln diesen Schutz nicht aus, sie umgehen ihn. Das Problem: Biometrie bestätigt nur die Identität des Nutzers gegenüber dem Smartphone. Hat ein Betrüger den Nutzer durch Social Engineering zur Ausführung einer Aktion manipuliert, erkennt das System dies als legitimen Vorgang an.

Die Sicherheit endet, sobald der Nutzer selbst zum Werkzeug der Angreifer wird. Kann Biometrie also nicht zwischen gewollter und erschlichter Transaktion unterscheiden?

2FA: Nicht alle Verfahren sind gleich sicher

Die Zwei-Faktor-Authentifizierung (2FA) ist gesetzlich vorgeschrieben und eine zentrale Sicherheitssäule. Doch Experten betonen: Nicht alle Verfahren bieten denselben Schutz. Während SMS-TANs anfällig für SIM-Swapping sind, gelten App-basierte Push-Benachrichtigungen oder photoTAN-Generatoren als sicherer.

Genau hier setzen die neuen Angriffe an. Sie tricksen die als sicher geltenden, app-basierten Verfahren durch psychologische Manipulation aus. Wenn ein Nutzer eine Push-Benachrichtigung bestätigt, hat er den zweiten Faktor geliefert – unabhängig von seinen Beweggründen. Entscheidend ist daher eine klare Darstellung der zu bestätigenden Aktion in der App.

Wettrüsten: Banken passen Betrugserkennung an

Die Professionalisierung der Betrugsversuche zeigt ein anhaltendes Wettrüsten. Während Banken durch EU-Regularien wie PSD2, DORA und NIS2 zu robusten Sicherheitssystemen verpflichtet sind, verlagern Angreifer ihren Fokus auf menschliche Verhaltensweisen.

Banken reagieren mit verbesserten Betrugserkennungssystemen. Künftig könnte eine Serie fehlgeschlagener MFA-Anfragen automatisch zu einer temporären Kontosperrung führen. Gleichzeitig wächst der Druck auf die Institute, ihre Kunden proaktiv über neue Maschen aufzuklären.

Zukunft: KI und passwortlose Anmeldung

Die Zukunft der Sicherheit wird von zwei Faktoren geprägt: Künstlicher Intelligenz (KI) und passwortlosen Methoden. KI-Systeme können in Echtzeit Transaktionsmuster analysieren und verdächtige Aktivitäten früh erkennen.

Gleichzeitig schreitet die Branche hin zu Standards wie FIDO2 und Passkeys voran, die Phishing grundsätzlich erschweren. Für den Nutzer bedeutet das eine nahtlosere, aber sicherere Erfahrung. Die wichtigste Verteidigungslinie bleibt jedoch die Sensibilisierung: Die Fähigkeit, Phishing-Versuche zu erkennen und bei ungewöhnlichen Anfragen skeptisch zu bleiben.

PS: Viele Nutzer merken nicht, dass Biometrie und App‑TANs legitime Aktionen ohne Kontext bestätigen – genau diese Lücke machen sich Angreifer zunutze. Der Gratis‑Report beschreibt sieben psychologische Schwachstellen, zeigt, wie Sie Transaktionen eindeutig kennzeichnen, und enthält praxisnahe Checklisten sowie Notfallabläufe für den Ernstfall. Ideal für Banken, FinTechs, Kundenberater und Sicherheitsverantwortliche, die aktuelle Schutzlücken schnell schließen wollen. Gratis Anti-Phishing-Guide sichern