Apple Pay & Android: Hybride Betrugswelle nutzt menschliche Schwächen

Eine neue Angriffswelle zielt auf Nutzer mobiler Bezahldienste – und setzt auf Täuschung statt Technik-Hacks. Sicherheitsexperten warnen vor einer gefährlichen Kombination aus Social Engineering und App-Manipulation, die selbst vorsichtige Nutzer in die Falle locken kann. Gleichzeitig häufen sich Berichte über dreiste, kontaktlose Diebstähle mit portablen Kartenlesern. Die Debatte um die Sicherheit digitaler Geldbörsen ist neu entfacht.

Die hybride Falle: Der betrügerische Anruf aus dem App-Store

Sicherheitsforscher schlagen Alarm vor einer ausgeklügelten, hybriden Betrugsmasche. Kriminelle kombinieren gezielte Telefonanrufe mit der Manipulation über offizielle App-Stores. Sie geben sich als Mitarbeiter der Bank oder eines Tech-Unternehmens aus und behaupten, ein Sicherheitsproblem mit dem Konto des Nutzers gefunden zu haben.

Unter diesem Vorwand wird das Opfer überredet, eine bestimmte App herunterzuladen oder in einer bestehenden Anwendung eine Freigabe zu erteilen. Diese Handlung öffnet den Betrügern Tür und Tor, um Zahlungsinformationen abzugreifen oder die Kontrolle über das Konto zu übernehmen. Das Perfide: Das Vertrauen in die offiziellen Plattformen von Apple und Google wird ausgenutzt, um die Opfer in falscher Sicherheit zu wiegen.

Passend zum Thema Social Engineering – viele Angriffe starten mit einem harmlos wirkenden Anruf oder gefälschten App‑Hinweisen. Ein kostenloses Anti-Phishing-Paket zeigt in 4 praxisnahen Schritten, wie Sie Manipulationsversuche erkennen, gefälschte App‑Aufforderungen abwehren und Ihr Konto schützen. Der Report enthält Checklisten, Muster‑E‑Mails und konkrete Formulierungen für die schnelle Reaktion im Ernstfall – kompakt und sofort umsetzbar. Kostenloses Anti-Phishing-Paket herunterladen

Physischer Parallel-Betrug: Der unsichtbare Diebstahl

Parallel zu den digitalen Angriffen verbreitet sich eine physische Variante. Aus Italien wurde kürzlich eine neue Methode gemeldet: In Menschenmengen halten Diebe mobile Kartenlesegeräte unbemerkt in die Nähe der Taschen oder Rucksäcke ihrer Opfer.

Innerhalb von Sekunden wird so eine kontaktlose Zahlung von bis zu 50 Euro ausgelöst – ohne PIN oder weitere Bestätigung. Diese Masche zielt auf physische Kredit- und Debitkarten mit NFC-Funktion ab. Hier bieten Smartphone-basierte Dienste wie Apple Pay und Google Pay einen klaren Vorteil: Jede Transaktion muss aktiv per Gesichtserkennung, Fingerabdruck oder Code freigegeben werden. Ein Diebstahl „im Vorbeigehen“ ist damit praktisch unmöglich.

Warum der Mensch das schwächste Glied bleibt

Die Angriffswellen zeigen ein grundlegendes Problem der Cybersicherheit: Die Technologie ist oft robuster als ihr Nutzer. Die zugrundeliegende NFC-Technologie und die Tokenisierung – bei der nur ein einmaliger, verschlüsselter Code übertragen wird – gelten weiterhin als sehr sicher.

Kriminelle versuchen daher kaum noch, diese Systeme direkt zu knacken. Stattdessen konzentrieren sie sich auf Phishing und Social Engineering. Ihr Ziel ist es, den Nutzer dazu zu bringen, die Sicherheitsmechanismen selbst auszuhebeln. Der Angriff zielt auf den Kopf, nicht auf das Handy.

Geteilte Verantwortung in einer digitale Welt

Die Beliebtheit kontaktloser Zahlungen macht sie unweigerlich zum attraktiven Ziel. Mehr als die Hälfte aller Kartentransaktionen weltweit wurden bereits 2025 kontaktlos abgewickelt – ein Trend, der sich beschleunigt.

Die hybriden Angriffe markieren eine ernste Eskalation, weil sie mehrere Täuschungsebenen kombinieren. Die Sicherheit digitaler Bezahlsysteme ist eine geteilte Verantwortung: Während Anbieter eine sichere Infrastruktur gewährleisten müssen, liegt es am Nutzer, wachsam zu bleiben.

Schutzmaßnahmen: Skepsis und Sicherheitsfunktionen nutzen

Was können Verbraucher tun? Experten raten zu einer gesunden Skepsis. Banken werden ihre Kunden niemals unaufgefordert anrufen und zur Installation einer App oder zur Preisgabe von Passwörtern auffordern.

Die integrierten Sicherheitsfunktionen der Bezahldienste – insbesondere die biometrische Freigabe für jede Zahlung – sollten stets aktiviert bleiben. Sie sind der wirksamste Schutz gegen physische Diebstahlversuche. Zudem ist die regelmäßige Kontrolle der Kontoauszüge essenziell, um verdächtige Transaktionen früh zu erkennen. Im Ernstfall gilt: Sofort die Bank kontaktieren und betroffene Karten sperren lassen.

PS: Hybrid-Angriffe kombinieren Telefonschwindel und manipulierte Apps – lassen Sie sich nicht überrumpeln. Der Gratis-Report erklärt, welche Fragen Ihnen keine Bank stellen wird, wie Sie betrügerische App‑Anfragen sofort erkennen und welche Sofortmaßnahmen (Karten sperren, Konten prüfen) wirklich helfen. Enthalten sind kurze, leicht umsetzbare Tipps für sofort mehr Sicherheit – ideal für alle, die mobil bezahlen. Jetzt Anti-Phishing-Leitfaden sichern