Betrugswelle im Online-Banking: Kriminelle setzen auf KI und Social Engineering

Cyberkriminelle umgehen immer häufiger die Zwei-Faktor-Authentifizierung (2FA) – mit verheerenden Folgen für Bankkunden weltweit.

Der digitale Zahlungsverkehr steht vor einer neuen Bedrohungslage. Während die Zwei-Faktor-Authentifizierung lange als Sicherheitsanker galt, setzen Betrüger zunehmend auf künstliche Intelligenz und automatisierte Tools, um die Schutzmechanismen zu knacken. Der Fokus der Kriminalität hat sich von technischen Netzwerkeinbrüchen hin zu perfiden Social-Engineering-Attacken verlagert. Millionen Bankkunden sind betroffen.

Social Engineering als größte Betrugsform

Ein aktueller Halbjahresbericht von Visa zeigt einen dramatischen Wandel in der Finanzkriminalität. Social-Engineering-Betrug hat sich zur größten Einzelkategorie entwickelt. Zwischen Juli und Dezember 2025 identifizierten die Analysten Schäden in Höhe von fast einer Milliarde Euro. Während technische Angriffe wie Device-Token-Betrug um 9,6 Prozent zurückgingen, treibt die leichte Verfügbarkeit von KI die neue Welle an.

„KI senkt die Einstiegshürde für Betrüger massiv“, erklären die Visa-Experten. Die Technologie ermöglicht täuschend echte Phishing-Kampagnen, die selbst aufmerksame Nutzer täuschen. Eine Studie von KPMG und der Austrian Cyber Security Organization (KSÖ) mit über 1.300 Teilnehmern bestätigt den Trend: CEO-Fraud und betrügerische Anrufe treffen inzwischen die Mehrheit der Unternehmen. Rund 70 Prozent der Firmen sind stark von ausländischen Digitaltechnologien abhängig – ein Einfallstor für global agierende Cyberkartelle.

Da Android-Banking-Trojaner und manipulierte Apps immer raffinierter werden, ist ein proaktiver Schutz des eigenen Geräts wichtiger denn je. Dieser gratis Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Smartphone effektiv gegen Viren und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Besonders alarmierend: Die Ransomware-Aktivitäten stiegen um 26 Prozent. Doch nur 23 Prozent der Opfer zahlten letztlich Lösegeld. Die Unternehmen werden widerstandsfähiger – aber der Mensch bleibt das schwächste Glied in der Sicherheitskette.

Android-Malware auf dem Vormarsch

Die mobile Bedrohungslage eskaliert. Kaspersky verzeichnete 2025 einen Anstieg der Android-Banking-Trojaner-Angriffe um 56 Prozent im Vergleich zum Vorjahr. Die Zahl neuer Schadsoftware-Pakete (APKs) für Banking-Trojaner explodierte um über 270 Prozent auf 255.090. Besonders die Hintertüren Triada und Qinadue bereiten Sicherheitsexperten Sorgen.

Im Mai 2026 entdeckten Forscher zwei besonders gefährliche Malware-Familien: DevilNFC und NFCMultiPay. Sie nutzen die Nahfeldkommunikation (NFC) für sogenannte Relay-Betrüge. DevilNFC, entwickelt von spanischsprachigen Tätern, setzt auf den Android-Kiosk-Modus und das Xposed-Framework, um Daten abzugreifen. Die Angriffskette beginnt meist mit einer Phishing-Nachricht via SMS oder WhatsApp, die zu einer gefälschten Banking-App führt.

Einmal installiert, fängt die Schadsoftware Einmalpasswörter (OTPs) ab und meldet sie in Echtzeit über Telegram. NFCMultiPay, hinter dem portugiesischsprachige Gruppen vermutet werden, folgt dem gleichen Muster. Beide Familien wurden ohne klassische „Malware-as-a-Service“-Plattformen entwickelt – ein Zeichen für wachsende technische Eigenständigkeit regionaler Krimineller in Europa und Lateinamerika.

Parallel dazu deckten Ermittler eine globale Betrugskampagne auf, die zwischen März 2025 und Januar 2026 lief. Rund 250 schädliche Apps imitierten beliebte Plattformen wie Facebook, TikTok und Minecraft. Durch Manipulation der Google-SMS-Retriever-API konnten sie Premium-Abonnements automatisieren und Cookies stehlen.

Der Markt für 2FA-Knacker boomt

Die Kommerzialisierung von Umgehungstools hat industrielle Ausmaße angenommen. CybelAngel berichtet im Mai 2026 von einer Explosion des Marktes für OTP-Bots – automatisierte Skripte, die Nutzer zur Preisgabe ihrer Codes verleiten. Suchten 2022 noch rund 1.700 Ergebnisse nach solchen Diensten, waren es 2025 bereits etwa fünf Millionen. Die Bots sind auf Plattformen wie Telegram für zehn bis 50 Euro pro Sitzung erhältlich.

Die finanziellen Schäden sind enorm. Allein der Bot-Dienst JokerOTP wird mit 28.000 erfolgreichen Angriffen und Schäden von rund zehn Millionen Euro in Verbindung gebracht. Das FBI verzeichnete 2025 über 5.100 Beschwerden wegen Kontodiebstählen mit Gesamtverlusten von mehr als 250 Millionen Euro. Hinzu kommt der „SMS-Pumping-Betrug“: Bots generieren massenhaft SMS-Verkehr, um an den Zustellgebühren mitzuverdienen – Kosten von über 60 Millionen Euro jährlich für digitale Plattformen.

Verschärfend kommt eine neue Generation „beschlagnahmesicherer“ Infrastruktur hinzu. Im März 2026 tauchte der Botnet Void auf russischen Foren auf. Entwickelt in der Programmiersprache Rust, nutzt Void Ethereum-Smart-Contracts für seine Kommando- und Kontrollstruktur. Diese dezentrale Architektur macht es für Strafverfolger nahezu unmöglich, das Botnet abzuschalten – es dient unter anderem dem Diebstahl von Zugangsdaten und DDoS-Angriffen.

Regulierungsbehörden reagieren

Die Bedrohungslage zwingt Aufsichtsbehörden zum Handeln. Die indische Zentralbank (RBI) empfiehlt dringend die Einführung von 2FA für alle Online-Banking-Transaktionen. Das Framework verlangt zwei Formen der Identifikation – etwa ein Passwort kombiniert mit einem biometrischen Merkmal oder einem zeitkritischen OTP. Die Institute betonen: Banken werden niemals telefonisch nach einem OTP fragen.

Angesichts der wachsenden Gefahr durch 2FA-Knacker und OTP-Bots suchen immer mehr Nutzer nach sichereren Alternativen zum herkömmlichen Passwort-Login. Mit der neuen Passkey-Technologie schützen Sie Ihre Konten vor Phishing und melden sich bequem per Fingerabdruck an. Kostenlosen Passkey-Report jetzt herunterladen

Die Dringlichkeit dieser Maßnahmen unterstreichen Daten von Sophos aus dem Jahr 2026. Fast 77 Prozent der Unternehmen in Indien erlitten im Vorjahr mindestens einen identitätsbezogenen Sicherheitsvorfall. Menschliches Versagen war in 43 Prozent der Fälle die Hauptursache, gefolgt von schwachem Management nicht-menschlicher Identitäten. Trotz der hohen Angriffszahlen überwachen nur 13 Prozent der befragten Organisationen kontinuierlich die Anmeldeversuche.

Große Datenschutzverstöße liefern weiterhin Munition für künftige Angriffe. Ende April 2026 wurde eine Untersuchung zu einem massiven Datenleck auf der Plattform Canvas von Instructure eingeleitet. Rund 275 Millionen Nutzer an 9.000 Bildungseinrichtungen waren betroffen, darunter renommierte Universitäten in den USA und Brasilien. Zwar wurden keine Finanzdaten gestohlen, doch die erbeuteten Namen, E-Mails und Studentenausweise bieten eine riesige Datenbasis für künftige Social-Engineering-Angriffe. Auch GitHub bestätigte im Mai 2026 einen Vorfall mit 3.800 internen Repositorys, nachdem ein Mitarbeiter versehentlich eine kompromittierte Entwicklungserweiterung installiert hatte.

Ausblick: Das Ende der SMS-Authentifizierung?

Die aktuelle Sicherheitslage offenbart ein Paradoxon: Je robuster die Netzwerksicherheit wird, desto stärker verlagert sich der Angriff auf den einzelnen Nutzer und sein mobiles Endgerät. Der Wandel von technischen Hacks hin zu „identitätszentrierter“ Kriegsführung bedeutet, dass die traditionelle 2FA – insbesondere per SMS – kein Allheilmittel mehr ist. Das explosionsartige Wachstum von OTP-Bots und der Einsatz von Blockchain-Technologie für Botnet-Management zeigen: Die Angreifer investieren ihre Gewinne in immer widerstandsfähigere und automatisierte Infrastruktur.

Der Anstieg der Android-Banking-Trojaner verweist auf eine kritische Schwachstelle im mobilen Ökosystem. Das Sideloading von Apps und die Ausnutzung legitimer Entwicklertools wie des Kiosk-Modus machen die Flexibilität der Android-Plattform zum zweischneidigen Schwert. Für Finanzinstitute besteht die Herausforderung darin, Benutzerfreundlichkeit mit „Zero-Trust“-Architekturen zu verbinden, die nicht allein auf einen abfangbaren Code setzen.

In den kommenden Monaten wird der Finanzsektor voraussichtlich von der SMS-basierten Authentifizierung abrücken. Branchenexperten empfehlen Hardware-Token oder integrierte biometrische Verfahren, die für OTP-Bots deutlich schwerer zu knacken sind. Der Aufstieg dezentraler Botnets könnte zudem eine engere Zusammenarbeit zwischen Finanzregulierern und Blockchain-Überwachern erzwingen, um illegale Zahlungsströme zu verfolgen.

Da KI-gestütztes Social Engineering zum Standard wird, verlagert sich der Schwerpunkt der Abwehr auf Echtzeit-Verhaltensanalysen. Indem Institute beobachten, wie ein Nutzer mit einer Banking-App interagiert, könnten sie betrügerische Aktivitäten erkennen – selbst wenn der Angreifer über gültige Zugangsdaten und 2FA-Codes verfügt. Für den Durchschnittsverbraucher bleibt die wirksamste Verteidigung eine Kombination aus digitaler Hygiene – wie der Vermeidung inoffizieller App-Stores – und einem gesunden Misstrauen gegenüber unaufgeforderten Nachrichten.

de | wissenschaft | 69394609 |