Trade Republic: Phishing-Welle verursacht hohen Schaden

Kriminelle nutzen gefälschte SMS und E-Mails, um an Zugangsdaten von Kunden des Neobrokers zu gelangen. Die Schadenssumme liegt bereits im sechstelligen Bereich.

Die Polizei und Finanzaufsichtsbehörden warnen eindringlich vor einer neuen Woche ausgeklügelter Phishing-Angriffe auf Kunden des Neobrokers Trade Republic. Das Polizeipräsidium Mittelfranken meldete am Dienstag eine Häufung von Betrugsfällen mit einem Gesamtschaden von mehreren hunderttausend Euro. Die koordinierte Angriffswelle kombiniert „Smishing“ (SMS-Phishing) mit betrügerischen E-Mails und hat sowohl Strafverfolger als auch die Handelsplattform veranlasst, Millionen Nutzer zu warnen.

Sechsstelliger Schaden durch professionelle Betrüger

Die Ermittler in Nürnberg bestätigten, dass sie einen starken Anstieg von Betrugsmeldungen im Zusammenhang mit Trade Republic-Konten untersuchen. Den Behörden zufolge beobachten sie seit Wochen ein klares Muster: Cyberkriminelle gelangen erfolgreich an Login-Daten und Zwei-Faktor-Authentifizierungscodes ahnungsloser Nutzer.

Passend zum Thema Smishing- und Phishing‑Attacken: Viele Nutzer unterschätzen, wie schnell Betrüger über gefälschte SMS oder E-Mails Zugangsdaten abfangen und Konten leeren können. Ein kostenloses Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie manipulierte Login‑Seiten erkennen, verdächtige Links sicher einschätzen und sofortige Schutzmaßnahmen ergreifen. Enthalten sind Checklisten für private Nutzer und Vorlagen für Meldungen an den Support. Anti-Phishing-Paket jetzt herunterladen

Die finanziellen Folgen für die Opfer sind erheblich. Der aggregierte Schaden aus aktuellen Fällen in der Region allein bewegt sich bereits im sechstelligen Euro-Bereich. Die Täter agieren mit hoher Geschwindigkeit und liquidieren Positionen oder transferieren Gelder unmittelbar nach dem Zugriff.

Die Warnung aus Mittelfranken deckt sich mit Hinweisen anderer Landeskriminalämter. Diese verzeichnen zu Beginn des Jahres 2026 einen generellen Anstieg von Cyberkriminalität, die auf digitale Banking- und Trading-Apps abzielt. Die Ermittler betonen, dass die professionelle Qualität der gefälschten Kommunikation es Nutzern immer schwerer macht, echte Benachrichtigungen von Betrugsversuchen zu unterscheiden.

So funktioniert die aktuelle „Smishing“-Kampagne

IT-Sicherheitsexperten zufolge setzt die aktuelle Angriffswelle stark auf psychologischen Druck und technische Täuschung. Die Hauptmethode sind betrügerische SMS und E-Mails, die scheinbar direkt von Trade Republic stammen.

Gängige Betreffzeilen und Nachrichtentexte warnen vor angeblichen „Sicherheitsverletzungen“, „unbekannten Geräteanmeldungen“ oder „Kontosperrungen“. Diese Nachrichten enthalten typischerweise einen Link zu einer manipulierten Website, die das offizielle Trade Republic-Login-Interface nachahmt. Sobald ein Nutzer seine Zugangsdaten auf der Fake-Seite eingibt, werden diese in Echtzeit abgefangen.

Eine besonders gefährliche Variante des Betrugs ist das „Sicherheits-Wallet“-Narrativ. Dabei kontaktieren Betrüger ihre Opfer – oft unter dem Vorwand, Bankmitarbeiter oder Sicherheitssupport zu sein – und behaupten, das Geld des Nutzers sei in Gefahr. Sie instruieren das Opfer dann, seine Vermögenswerte auf ein angeblich „sicheres“ Konto oder Krypto-Wallet zu transferieren, um einen Diebstahl zu verhindern. Experten warnen: Seriöse Finanzinstitute fordern Kunden niemals auf, Geld aus Sicherheitsgründen auf Drittanbieter-Konten zu überweisen.

Trade Republic reagiert mit Nutzerwarnung

Als Reaktion auf die sich zuspitzende Bedrohungslage hat Trade Republic seine Nutzer bereits Anfang dieser Woche proaktiv informiert. In einer Mitteilung vom 16. Januar erläuterte das Unternehmen seine Kommunikationsprotokolle, um Kunden bei der Identifizierung von Betrug zu helfen.

Der Broker stellte klar, dass er SMS ausschließlich zum Versand von Einmal-Verifizierungscodes (2FA) für Logins oder Transaktionen nutzt. Das Unternehmen betonte, dass es keine Textnachrichten verschickt, in denen Nutzer aufgefordert werden, Links zu klicken, persönliche Daten zu aktualisieren oder ihre Identität über externe Websites zu bestätigen.

Darüber hinaus wies das Sicherheitsteam der Plattform darauf hin, dass legitime Support-Kommunikation niemals die Aufforderung zur Herausgabe von Passwörtern, PINs oder direkten Geldtransfers enthält. Das Unternehmen riet Nutzern, bei verdächtigen Nachrichten nicht mit Links zu interagieren und den Vorfall umgehend über die offizielle Support-Funktion in der App zu melden.

Komplizierte Rechtslage für Geschädigte

Rechtsexperten für Cyberkriminalität weisen darauf hin, dass die Rückerstattung gestohlener Gelder in solchen Fällen komplex sein kann. Während Banken und Broker Sicherheitsvorkehrungen treffen, kann die unbefugte Preisgabe von Zwei-Faktor-Authentifizierungscodes durch den Nutzer Haftungsansprüche manchmal erschweren.

Die aktuelle Angriffswelle unterstreicht die Anfälligkeit mobiler Finanzdienste für Social Engineering. Im Gegensatz zu traditionellem Bankbetrug, der oft komprommittierte Kartengeräte oder physischen Diebstahl erfordert, nutzen diese Angriffe das Vertrauen aus, das Nutzer in digitale Benachrichtigungen auf ihren Smartphones setzen.

Sicherheitsanalysten empfehlen Nutzern, wo möglich biometrische Authentifizierung zu aktivieren und sich strikt an das „Zero-Trust“-Prinzip für jede unaufgeforderte Kommunikation zu halten. Bei Verdacht auf einen kompromittierten Account sollten umgehend die Passwörter für E-Mail und Banking geändert und Strafanzeige bei der Polizei erstattet werden.

KI-gestützte Betrugsmethoden als neue Bedrohung

Beobachter der Branche prognostizieren, dass Phishing-Angriffe auf Neobroker sich weiterentwickeln werden, je populärer diese Plattformen werden. Die Integration künstlicher Intelligenz durch Cyberkriminelle, um überzeugendere Phishing-Vorlagen und Stimmklone für Telefonbetrug zu erstellen, stellt eine wachsende Bedrohung dar.

Die Finanzaufsichtsbehörden dürften die Sicherheitsmechanismen von Fintech-Unternehmen in den kommenden Monaten genauer unter die Lupe nehmen. Möglicherweise werden strengere Authentifizierungsprotokolle für hochwertige Transaktionen vorgeschrieben. Bis dahin raten die Behörden zu äußerster Vorsicht: Jede Nachricht, die ein Gefühl der Dringlichkeit erzeugt oder sofortige Handlungen in Bezug auf Finanzkonten fordert, sollte als potenzieller Betrugsversuch behandelt werden.

PS: Diese Angriffswellen werden immer raffinierter – oft setzen Kriminelle inzwischen KI‑gestützte Vorlagen und Stimmklone ein. Ein kostenloser Guide zum Anti‑Phishing liefert praxisnahe Abwehrmaßnahmen, Notfall-Checklisten und Vorlagen für interne Meldungen, damit Sie oder Ihr Unternehmen schnell reagieren können, wenn ein Konto kompromittiert wurde. Geeignet für private Nutzer wie für IT‑Verantwortliche. Gratis Anti‑Phishing‑Guide sichern