Apple, Pay

Apple Pay und Google Pay: Neue Betrugsmasche räumt Konten leer

29.11.2025 - 10:19:12

Apple Pay und Google Pay: Neue Betrugsmasche räumt Konten leer - Foto: über boerse-global.de
Apple Pay und Google Pay: Neue Betrugsmasche räumt Konten leer - Foto: über boerse-global.de

Cyberkriminelle nutzen digitale Wallets für eine gefährliche Masche. Statt nur Zugangsdaten zu stehlen, installieren sie nun komplette Bankkarten auf ihren eigenen Smartphones – und kaufen damit ungehindert ein.

Die Methode ist perfide: Betrüger kapern nicht das Konto, sondern die digitale Identität ihrer Opfer. Das Ziel ist eine digitale Kopie der Bankkarte, die auf dem Smartphone der Täter landet. Verbraucherschützer und Sicherheitsexperten warnen vor einer neuen Welle dieser “Smishing”-Angriffe, die Kunden aller großen deutschen Banken treffen.

Die Täter missbrauchen den eigentlich sicheren Prozess der Tokenisierung – jene Technologie, die es Bankkunden ermöglicht, ihre Karte in Apple Pay oder Google Pay zu hinterlegen. Der Ablauf ist erschreckend simpel:

Anzeige

Viele Android-Nutzer übersehen entscheidende Schutzmaßnahmen – gerade beim mobilen Bezahlen per Google Pay, wo Tokenisierung und NFC missbraucht werden können. Unser Gratis-Sicherheitspaket zeigt die 5 wichtigsten Maßnahmen mit leicht verständlichen Schritt-für-Schritt-Anleitungen, zum Beispiel Geräteverwaltung prüfen, App-Berechtigungen einschränken, Push-Nachrichten richtig bewerten und NFC-Einstellungen kontrollieren. So machen Sie es Kriminellen schwerer, digitale Karten zu kopieren oder per Smishing an Ihre TANs zu kommen. Jetzt Android-Schutz-Paket herunterladen

Phase 1: Der Köder
Eine SMS oder E-Mail erreicht das Opfer, perfekt gefälscht im Design der Hausbank. Der Betreff klingt dringend: “Datenverifizierung erforderlich” oder “Sicherheits-Update notwendig”.

Phase 2: Die Falle
Über einen Link gibt das Opfer seine Online-Banking-Zugangsdaten auf einer täuschend echten Webseite ein. Im Hintergrund starten die Kriminellen die Einrichtung von Apple Pay oder Google Pay – auf ihrem eigenen Gerät.

Phase 3: Die Übernahme
Jetzt kommt der entscheidende Moment: Um die Einrichtung abzuschließen, wird eine TAN oder Freigabe in der Banking-App benötigt. Die gefälschte Webseite fordert das Opfer auf, diese zu erteilen – angeblich für ein “Sicherheits-Update”. Einmal bestätigt, ist die digitale Karte auf dem Täter-Smartphone aktiv.

Ab diesem Zeitpunkt kann der Kriminelle an jedem kontaktlosen Terminal einkaufen oder Geld abheben. Die physische Karte bleibt unberührt im Portemonnaie des Opfers – das merkt oft erst tagelang nichts.

ING, Volksbanken, Deutsche Bank: Die aktuelle Angriffswelle

Das Phishing-Radar der Verbraucherzentrale NRW zeigt das Ausmaß. Allein in der Woche vom 24. bis 28. November 2025 gingen Meldungen zu mehreren großangelegten Kampagnen ein:

  • ING (28. November): “Wir benötigen Ihre Unterstützung zur Datenaktualisierung” – mit einer Frist von nur zwei Tagen wird massiver Druck aufgebaut.
  • Volksbanken Raiffeisenbanken (27. November): Eine angebliche “Datenverifizierung” ohne konkreten Bezug zum Konto soll Kunden in die Falle locken.
  • Deutsche Bank (24. November): Kunden sollten ihre Telefonnummer bestätigen, sonst drohe eine Kontosperrung.

Auch Barclays (25. November) und Sparkassen-Kunden (S-ID-Check Betrugsmasche, 19. November) standen im Fokus der Angreifer.

Warum die Zwei-Faktor-Authentifizierung nicht schützt

Das Perfide: Diese Masche umgeht die Zwei-Faktor-Authentifizierung nicht – sie nutzt sie als Waffe. Viele Bankkunden wiegen sich in falscher Sicherheit: “Ohne meine Freigabe in der App passiert nichts.” Doch genau diese Freigabe erschleichen sich die Täter durch Täuschung.

Sicherheitsforscher von Kaspersky betonen die Rolle der NFC-Technologie. Ist die Karte einmal im digitalen Wallet des Angreifers provisioniert, verhält sich dessen Smartphone an Kassenterminals wie eine echte Bankkarte. Bei kleineren Beträgen oder entsperrtem Gerät ist oft keine PIN-Eingabe nötig – perfekte Bedingungen für Kriminelle.

Die Täter kaufen bevorzugt Gutscheinkarten, die sich anonym weiterverkaufen lassen. Mehrere Transaktionen hintereinander können so innerhalb von Minuten hohe Summen vom Konto abbuchen.

BaFin unter Druck: Wer haftet für den Schaden?

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat Cyberrisiken als einen der sechs Risikoschwerpunkte für 2025 definiert. Der Digital Operational Resilience Act (DORA) soll die Widerstandsfähigkeit von Finanzunternehmen stärken – doch die Angreifer sind schneller.

Für Betroffene stellt sich die Haftungsfrage. Banken argumentieren oft mit grober Fahrlässigkeit: Der Kunde habe die TAN selbst freigegeben. Doch Gerichte urteilen zunehmend differenziert. War die Täuschung so professionell, dass sie für einen Durchschnittsnutzer kaum erkennbar war, stehen die Chancen auf Erstattung gut.

Ein kritischer Unterschied zu klassischen Überweisungsbetrugen: Die Abbuchung via Apple Pay oder Google Pay erfolgt in Echtzeit. Zeit zum Reagieren bleibt kaum.

So schützen Sie sich vor dem digitalen Kartenklau

Experten rechnen damit, dass sich diese Angriffe 2026 weiter verschärfen werden. KI-gestützte Tools perfektionieren Phishing-Nachrichten und individualisieren sie für jedes Opfer.

Diese drei Maßnahmen helfen:

Geräteverwaltung regelmäßig prüfen
Öffnen Sie in Ihrer Banking-App den Bereich “Sicherheit” oder “Geräteverwaltung”. Ist dort ein unbekanntes Gerät gelistet – etwa ein “iPhone 16”, das Sie nicht besitzen? Entfernen Sie es sofort und ändern Sie Ihre Zugangsdaten.

Push-Nachrichten genau lesen
Bestätigen Sie niemals eine TAN, wenn Sie nicht in diesem Moment selbst eine Aktion gestartet haben. Steht in der Nachricht “Karte hinzufügen” oder “Digitalisierung”, obwohl Sie sich nur einloggen wollten? Brechen Sie ab.

Misstrauen bei Zeitdruck
Keine seriöse Bank setzt Fristen von 24 oder 48 Stunden per SMS oder E-Mail. Druck ist das Werkzeug der Betrüger.

Ihr Smartphone ist heute der Schlüssel zu Ihrem Tresor. Die Digitalisierung des Zahlungsverkehrs bringt Komfort – verlangt aber ein neues Bewusstsein für digitale Sicherheit. Wer achtsam bleibt und verdächtige Nachrichten kritisch prüft, macht es den Kriminellen deutlich schwerer.

Anzeige

PS: Ihr Smartphone kann heute der Schlüssel zu Ihrem Konto sein – und genau das machen sich Kriminelle zunutze, indem sie digitale Karten in fremden Wallets aktivieren. Holen Sie sich das kostenlose Android-Sicherheitspaket mit 5 praxisnahen Schutzmaßnahmen, Checklisten und klaren Anleitungen, wie Sie fremde Geräte entfernen, Push-Anfragen prüfen und App-Rechte beschränken. Kurz, konkret und sofort umsetzbar, damit Sie Phishing- und Token-Betrügereien vorbeugen. Kostenloses Sicherheitspaket anfordern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler