USSD-Codes: Einfacher Handy-Trick führt zu Konten-Klau

Eine altbekannte Betrugsmasche mit USSD-Codes erlebt ein Comeback und führt zu kompletten Konten-Übernahmen – ohne Malware. Deutsche Sicherheitsbehörden warnen vor der raffinierten Methode, bei der Kriminelle per Anruf die Weiterleitung aller eingehenden Anrufe auf ihre Nummer umlenken. Das Ziel: Bank-OTPs und Zugänge abfangen.

So funktioniert der tückische Anruf-Betrug

Der Angriff beginnt nicht mit einem Link, sondern mit einem scheinbar harmlosen Anruf. Die Betrüger geben sich als Paketboten oder Lieferdienst-Mitarbeiter aus und täuschen eine dringende Zustellung vor. Unter einem Vorwand – etwa zur „Verifizierung“ der Adresse – fordern sie das Opfer auf, einen bestimmten Code auf der Telefontastatur zu wählen.

Dieser Code ist ein USSD-Befehl, oft beginnend mit *21* oder *401*, gefolgt von der Handynummer des Kriminellen. USSD wird normalerweise für Funktionen wie Kontostandabfrage genutzt. Doch wer den Code wählt, aktiviert unbemerkt die bedingungslose Rufumleitung für alle eingehenden Anrufe – direkt zur Nummer des Betrügers.

Diese per Anruf aktivierten Rufumleitungen zeigen, wie Social Engineering klassische Telekom-Funktionen missbraucht, um OTPs abzufangen und Konten zu übernehmen. Experten warnen: 73% der deutschen Organisationen sind unvorbereitet — und auch Privatnutzer sollten konkrete Schutzmaßnahmen kennen. Das kostenlose E‑Book bietet praxisnahe Strategien, Sofortmaßnahmen und Checklisten, mit denen Sie Mobilzugänge, Zwei-Faktor-Methoden und Messaging-Accounts sichern können – oft ohne teure IT-Investitionen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Der lautlose Diebstahl: OTPs und Konten in Fremdhand

Sobald die Umleitung aktiv ist, läuft das Telefon des Opfers stumm. Jeder eingehende Anruf – auch automatisierte Bank-Anrufe mit Sprach-OTPs für Überweisungen oder Authentifizierungscodes von Diensten wie WhatsApp – landet beim Kriminellen. Das eigene Telefon klingelt nicht oder zeigt nur einen verpassten Anruf an.

Mit dieser Kontrolle können Täter Finanztransaktionen auslösen, die zur Freigabe nötigen Einmalpasswörter abfangen und Konten leerräumen. Sie übernehmen auch Messengerdienste, um weitere Betrugsversuche zu starten, oder setzen Passwörter für Online-Dienste zurück. Das Opfer ist aus seinem digitalen Leben ausgesperrt.

Warum dieser „Low-Tech“-Betrug so gefährlich ist

Die Gefahr liegt in der Einfachheit. Die Methode nutzt keine Software-Schwachstelle, sondern soziale Manipulation und ein legales Netzwerk-Feature. Da sie ohne Internet funktioniert, sind gängige Sicherheits-Apps oft machtlos. Die Zwei-Faktor-Authentifizierung wird ausgehebelt, indem der zweite Faktor – das OTP – abgefangen wird, bevor es den Nutzer erreicht.

Sicherheitsexperten betonen die mangelnde Aufklärung über USSD-Codes. Viele Nutzer kennen sie von Dienstfunktionen, wissen aber nicht, dass bestimmte Codes die gesamte Anrufweiterleitung umstellen können. Behörden wie das indische Cyber Crime Coordination Centre (I4C) warnen explizit vor der Eingabe von Codes, die mit *21*, *61* oder *67* beginnen.

So können Sie sich schützen

Die wichtigste Regel: Wählen Sie niemals Codes, die Ihnen ein unbekannter Anrufer diktiert. Verifizieren Sie jede Aufforderung eigenständig, indem Sie den vermeintlichen Absender – Bank, Paketdienst – über dessen offizielle Website oder Service-Nummer kontaktieren.

Falls Sie befürchten, dass Ihre Anrufe bereits umgeleitet wurden, gibt es einen universellen Deaktivierungscode: Das Wählen von ##002# bricht typischerweise alle aktiven Rufumleitungen auf dem Gerät ab. Im Verdachtsfall sollten Sie sofort handeln, Kontoauszüge prüfen und den Vorfall melden.

Der beste Schutz bleibt Wachsamkeit. Fragen Sie sich: Warum sollte ein Paketbote technische Codes benötigen? Telekommunikationsanbieter stehen in der Pflicht, Nutzer transparenter zu informieren – etwa durch eine Bestätigungs-SMS bei Aktivierung der Rufumleitung. Bis dahin liegt es am Nutzer, misstrauisch zu bleiben.

PS: Wenn Ihnen dieser Bericht zeigt, wie angreifbar Mobilfunkfunktionen und Messaging-Accounts sind, hilft der Gratis-Report mit konkreten Schritten: Welche Einstellungen Sie sofort prüfen sollten, wie Sie Rufumleitungen erkennen und welche Maßnahmen bei Verdacht nötig sind. Praktische Checklisten und handfeste Empfehlungen machen es einfach, Konten und Kommunikation zu schützen – privat wie im kleinen Unternehmen. Gratis E-Book: Sicherheitsmaßnahmen für Mobilgeräte herunterladen