Sparkassen warnen vor virtuellen Debitkarten-Betrug zu Silvester

Bankkunden in Deutschland müssen sich zu Jahresende vor einer neuen Betrugswelle in Acht nehmen. Kriminelle erschleichen sich Zugriff auf Konten, indem sie virtuelle Kartenkopien auf ihren Smartphones anlegen.

Die Methode des „digitalen Raubzugs“

Die Täter nutzen die Digitalisierungsfunktionen moderner Girocards aus. Statt die physische Karte zu stehlen, erschleichen sie sich die Berechtigung, eine funktionsfähige digitale Kopie auf ihrem eigenen Gerät zu erstellen. Diese virtuelle Karte kann sofort über digitale Geldbörsen wie Apple Pay oder Google Pay genutzt werden. Laut dem Computer Emergency Response Team der Sparkassen umgehen die Angreifer so alle physischen Sicherheitsvorkehrungen.

Die Kunden werden per Telefon dazu gebracht, in ihrer Banking-App eine „Geräteaktivierung“ zu bestätigen. In Wirklichkeit autorisieren sie damit die Digitalisierung ihrer Karte für das Smartphone des Betrügers. Anschließend sind sofortige kontaktlose Zahlungen im Handel oder Bargeldabhebungen an NFC-fähigen Geldautomaten möglich.

Passend zum Thema Social Engineering und pushTAN-Missbrauch: Viele Angriffe nutzen genau diese Täuschungsmuster, um Kontenzugriff zu erlangen. Das kostenfreie Anti-Phishing-Paket erklärt in einer klar strukturierten 4-Schritte-Anleitung, wie Sie verdächtige Anrufe erkennen, welche Reaktionen sofort nötig sind und wie Sie Ihre Banking-Apps schützen können. Praktische Checklisten und konkrete Formulierungen für Rückrufe helfen, im Ernstfall richtig zu handeln. Anti-Phishing-Paket jetzt herunterladen

So funktioniert der „Silvester-Anruf“

Die aktuelle Welle setzt auf ein verfeinertes Social Engineering. Die Betrugsmasche läuft in drei Schritten ab:

1. Der Anruf: Opfer erhalten einen Anruf, der durch Call-ID-Spoofing von einer legitimen Banknummer oder sogar der Notrufnummer 116 116 zu kommen scheint. Ein angeblicher Sicherheitsmitarbeiter warnt vor einer verdächtigen Buchung oder einem dringenden Sicherheitsupdate zum Jahresende.

2. Die Falle: Unter dem Vorwand, die Transaktion zu stornieren, löst der Anrufer eine pushTAN-Benachrichtigung in der Banking-App des Opfers aus. Der Kunde wird aufgefordert, diese zu bestätigen. Tatsächlich autorisiert er damit die Registrierung seiner Debitkarte auf dem Fremdgerät.

3. Der Zugriff: Der Betrüger hat nun eine gültige virtuelle Karte auf seinem Handy. Die ersten Berichte zeigen, dass diese sofort für hochpreisige Einkäufe oder Bargeldabhebungen genutzt wird – oft, bevor das Opfer den Schwindel bemerkt.

Warum gerade der Jahreswechsel?

Sicherheitsexperten sehen im Timing zu Silvester eine kalkulierte Strategie der Cyberkriminellen. Die allgemeine Ablenkung während der Feiertage senkt die Wachsamkeit. Viele Verbraucher glauben zudem, die Bankfilialen seien geschlossen, und sind für angeblichen „Not-Support“ empfänglicher. Der ohnehin hohe Transaktionsaufkommen rund um den Jahreswechsel erschwert es zudem automatischen Betrugserkennungssystemen, die illegalen Käufe sofort zu erkennen.

Analysen von datensicherheit.de verweisen zudem auf einen Trend zu KI-unterstütztem Betrug. Generative KI soll dabei helfen, überzeugende Gesprächsskripte oder sogar Stimmenklone für noch glaubwürdigere Phishing-Anrufe zu erstellen.

So können sich Kunden schützen

Sparkassen und andere Banken haben ihre Warnungen verschärft. Der wichtigste Grundsatz lautet: Keine seriöse Bank wird jemals am Telefon nach einer TAN, PIN oder der Bestätigung einer pushTAN fragen.

Die Polizei rät konkret zu diesen Schritten:
* Sofort auflegen, wenn ein Anrufer nach Freigaben in der Banking-App fragt.
* Rückruf tätigen unter der offiziellen Servicenummer auf der Rückseite der eigenen Bankkarte – niemals unter der auf dem Display angezeigten Nummer.
* App-Benachrichtigungen genau prüfen: Taucht eine Anfrage für „Registrierung Karte“ oder „Geräteaktivierung“ auf, ohne dass man selbst diesen Vorgang angestoßen hat, handelt es sich um einen Betrugsversuch.

Virtueller Betrug als Trend für 2026

Die „Silvester-Welle“ markiert eine Wende im Finanzbetrug. Während das klassische Skimming physischer Karten durch Chip-Technologien erschwert wird, wird das „virtuelle Skimming“ zum dominierenden Bedrohungsmodell. Dabei werden keine Magnetstreifendaten gestohlen, sondern digitale Zugriffsrechte.

Die Branche rechnet für 2026 mit schärferen Sicherheitsvorkehrungen bei der Karten-Digitalisierung. Denkbar sind zusätzliche biometrische Authentifizierungen oder Wartezeiten für neue Geräteregistrierungen. Bis dahin bleibt die Wachsamkeit der Kunden die wichtigste Verteidigungslinie.

PS: Sie möchten sich gegen Anruf-Tricks und gefälschte TAN-Anfragen wappnen? Der kompakte Anti-Phishing-Guide fasst die wichtigsten Schutzmaßnahmen zusammen, von sofortigen Notfall-Schritten bis zu Präventions-Einstellungen in Ihrer Banking-App. Ideal, um Familie und Freunde schnell zu informieren und potenzielle Schäden zu verhindern. Kostenlosen Anti-Phishing-Guide anfordern