Volksbank warnt vor digitalem Girocard-Betrug im Weihnachtsgeschäft

Banken, Verbraucherschützer und das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlagen Alarm: Mitten im vorweihnachtlichen Online-Shopping-Rausch erreicht eine neue Betrugswelle deutsche Verbraucher – raffinierter und gefährlicher als je zuvor.

Allein in den vergangenen 72 Stunden meldeten große Bankinstitute und das BSI einen drastischen Anstieg sogenannter Hybrid-Angriffe. Die Bandbreite reicht von physischen Briefen mit manipulierten QR-Codes bis hin zu komplexen Betrugsmaschen rund um digitale Girocards. Am Montag, 8. Dezember, veröffentlichten die Volksbanken Raiffeisenbanken eine dringende Warnung zur missbräuchlichen Nutzung digitaler Girocards – eine Masche, die selbst die Zwei-Faktor-Authentifizierung aushebelt. Parallel dazu aktualisierte die Verbraucherzentrale ihren Phishing-Radar mit neuen Warnungen zu Streaming-Diensten und Paketdienstleistern. Die digitale Bedrohungslage vor Weihnachten: kritisch.

Die Volksbanken Raiffeisenbanken schlagen mit ihrer Sicherheitswarnung vom 8. Dezember einen ungewöhnlich ernsten Ton an. Anders als beim klassischen Phishing, bei dem Kriminelle lediglich Zugangsdaten abgreifen wollen, zielt diese Masche auf die Einrichtung einer vollwertigen digitalen Bankkarte ab – und das auf dem Smartphone der Täter.

Das perfide System dahinter: Die Kriminellen nutzen bereits erbeutete Banking-Zugangsdaten, um eine „digitale Girocard” für ihr eigenes Mobilgerät zu bestellen. Um den Vorgang abzuschließen, fehlt nur noch eine TAN. Hier kommt die psychologische Manipulation ins Spiel: Die Betrüger kontaktieren ihre Opfer telefonisch, geben sich als Bankmitarbeiter oder Sicherheitsdienst aus und setzen die Kunden unter Druck.

Viele Android-Nutzer übersehen diese Schutzlücken oft, obwohl Manipulationen per QR-Code, bösartige Links oder falsch konfigurierte Banking-Apps genau hier ansetzen. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android-Smartphones – mit konkreten Schritt-für-Schritt-Anleitungen, welche Einstellungen Sie sofort ändern sollten, wie Sie App-Berechtigungen sicher setzen und wie Sie Phishing-QR-Codes erkennen. Gratis-Sicherheitspaket für Android herunterladen

„Die Täter suggerieren, die TAN werde benötigt, um eine betrügerische Transaktion zu stoppen oder ein Sicherheitssystem zu aktualisieren”, erklärt die Sicherheitsabteilung der Bank. In Wahrheit autorisiert die TAN die Installation der digitalen Karte auf dem Gerät der Kriminellen – ab diesem Moment können sie ungehindert vom Konto des Opfers bezahlen, ohne weitere Sicherheitsabfragen durchlaufen zu müssen.

Die Bank stellt unmissverständlich klar: Echte Mitarbeiter fragen niemals nach einer TAN, um einen Vorgang zu „verifizieren” oder zu „stoppen”. Wer eine solche Anfrage erhält, hat es mit Betrügern zu tun.

Quishing im Briefkasten: Wenn der Betrug per Post kommt

Eine besonders heimtückische Entwicklung bereitet Sicherheitsexperten aktuell Kopfzerbrechen: „Quishing” (QR-Code-Phishing) hat den Sprung vom E-Mail-Postfach in den analogen Briefkasten geschafft. Kriminelle versenden täuschend echt aussehende Schreiben, die mit Logos von Commerzbank, Deutscher Bank und Sparkasse geschmückt sind.

Der Inhalt folgt einem bewährten Angstmuster: Das PhotoTAN-Verfahren oder die Sicherheits-App des Kunden müsse aufgrund regulatorischer Änderungen „dringend aktualisiert” werden. Beigelegt ist ein QR-Code, den der Empfänger scannen soll.

„Weil der Brief physisch im Briefkasten landet, senken viele Betroffene ihre Wachsamkeit – sie gehen davon aus, dass es sich um legitime Post handeln muss”, warnen regionale Verbraucherzentralen. Doch das Scannen des Codes führt direkt auf eine gefälschte Website, die auf Zugangsdaten aus ist. Diese hybride Angriffsmethode umgeht E-Mail-Spam-Filter komplett – und ist damit eine der aktuell effektivsten Bedrohungen.

Spotify, Disney+ und DHL im Visier der Betrüger

Die Verbraucherzentrale dokumentiert seit dem 8. Dezember einen massiven Anstieg von Phishing-Mails, die gezielt auf Abo-Dienste und Paketlieferungen abzielen – und dabei die Flut digitaler Benachrichtigungen in der Vorweihnachtszeit schamlos ausnutzen.

Spotify: Eine am 8. Dezember beobachtete Kampagne behauptet, das „Premium-Abo sei aufgrund ungültiger Zahlungsdaten gekündigt worden”. Der drohende Verlust von Playlists und Offline-Musik soll Nutzer unter Druck setzen, auf einen manipulierten Link zu klicken.

Disney+: Eine ähnliche Welle rund um den 5. Dezember fordert Kunden auf, „Zahlungsdaten zu aktualisieren”, um Serviceunterbrechungen zu vermeiden.

DHL & Paketdienste: Bei Millionen Paketen im Umlauf haben Betrüger leichtes Spiel. Aktuelle Maschen arbeiten mit SMS-Nachrichten, die behaupten, ein Paket „konnte nicht zugestellt werden” oder es sei eine „geringe Zollgebühr” fällig. Die Links führen entweder auf Malware-verseuchte Seiten oder zu gefälschten Zahlungsportalen, die Kreditkartendaten abgreifen.

BSI meldet 280.000 neue Bedrohungen – täglich

Wie ernst die Lage ist, verdeutlichen aktuelle Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Laut dem jüngsten Lagebericht werden täglich rund 280.000 neue Malware-Varianten entdeckt – eine schwindelerregende Zahl, die zeigt, wie dynamisch und professionalisiert die Cyberkriminalität geworden ist.

BSI-Präsidentin Claudia Plattner betont, dass die Bedrohung längst nicht mehr nur Großkonzerne betrifft: „Unzureichend geschützte Angriffsflächen” in Privathaushalten und bei kleinen Unternehmen werden zunehmend zum Ziel. Die Behörde warnt eindringlich, dass „digitale Nachlässigkeit” – etwa die Wiederverwendung von Passwörtern oder das ungeprüfte Klicken auf Links – nach wie vor das Haupteinfallstor für Angriffe darstellt.

Professionalisierung der Cyberkriminalität

Die Verschiebung hin zu „hybriden” Betrugsmaschen wie der digitalen Girocard oder physischen Quishing-Briefen offenbart eine besorgniserregende Professionalisierung der Cyberkriminalität. Statt wahllos Massen-E-Mails zu verschicken, setzen Täter heute auf aufwendige, detailverliebte Taktiken, die legitime behördliche oder geschäftliche Prozesse perfekt nachahmen.

„Die Qualität dieser Angriffe hat sich dramatisch verbessert”, analysiert die Verbraucherzentrale. „Grammatikfehler sind selten, Logos pixelgenau reproduziert, und die psychologischen Trigger – Angst vor Kontosperrung oder verpassten Lieferungen – sind perfekt auf die stressige Vorweihnachtszeit abgestimmt.”

Kann man sich gegen diese hochprofessionellen Angriffe überhaupt noch schützen? Die Antwort ist eindeutig: Ja, aber nur mit konsequenter Wachsamkeit und gesundem Misstrauen.

So schützen Sie sich jetzt

Experten rechnen damit, dass die Angriffe bis zum Jahresende weiter zunehmen werden – insbesondere Maschen rund um „Last-Minute-Lieferungen” und „Jahresabschluss-Kontoverifizierungen” dürften massiv zunehmen. Verbraucher sollten sich an drei eiserne Regeln halten:

1. Niemals eine TAN für einen Vorgang freigeben, den Sie nicht selbst angestoßen haben.
2. Überprüfen Sie physische Briefe, indem Sie Ihre Bank unter der Nummer auf der Rückseite Ihrer Bankkarte anrufen – nicht unter der im Brief angegebenen Nummer.
3. Nutzen Sie ausschließlich offizielle Banking-Apps, um Ihren Kontostatus zu prüfen – klicken Sie niemals auf Links in E-Mails oder SMS.

Wer bereits Opfer eines Finanzbetrugs geworden ist, sollte umgehend seine Bank kontaktieren, um Konten sperren zu lassen, und Anzeige bei der Polizei erstatten. Oft ist schnelles Handeln die einzige Chance, verlorenes Geld zurückzuholen.

PS: Wussten Sie, dass schon eine einzige falsche TAN-Anfrage oder ein falsch gescannter QR-Code Angreifern Vollzugriff aufs Konto geben kann? Im kostenlosen Ratgeber erfahren Sie praxisnahe Maßnahmen, mit denen Sie Ihr Android-Handy vor genau solchen hybriden Betrugsmaschen schützen – inklusive eines oft übersehenen Tricks in Punkt 3, der viele Lücken schließt. Jetzt Android-Schutzpaket anfordern