Cyberkriminelle attackieren das beliebte photoTAN-Verfahren

Banken warnen vor einer neuen Phishing-Welle, die gezielt Nutzer des sicheren photoTAN-Verfahrens angreift. Die Betrüger setzen auf gefälschte SMS und E-Mails, um an sensible Bankdaten zu gelangen. Ihr Ziel: das Ersparte ahnungsloser Kunden.

Gefälschte SMS mit Dringlichkeits-Botschaft

Verbraucherschützer verzeichnen einen deutlichen Anstieg betrügerischer Nachrichten. Diese kommen per SMS oder E-Mail und geben sich als die eigene Bank aus. Die Botschaft ist immer gleich: Dringend! Die photoTAN-App laufe ab, sei gesperrt oder müsse aktualisiert werden.

Diese neue Phishing-Welle trifft gezielt photoTAN-Nutzer – gefälschte SMS und Links führen schnell zu Konto- und Identitätsverlust. Das kostenlose Anti-Phishing‑Paket bietet eine praxisnahe 4‑Schritte-Anleitung, eine Notfall-Checkliste und Beispiel‑Mails, mit denen Sie gefälschte Nachrichten erkennen, Links prüfen und Sofortmaßnahmen einleiten können. Besonders nützlich für alle, die Online-Banking sicherer machen wollen. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

Hinter dem mitgeschickten Link verbirgt sich eine täuschend echte Fälschung des Banking-Portals. Dort sollen die Opfer ihre Login-Daten wie PIN und Kontonummer eingeben. In einigen Fällen fordern die Kriminellen sogar ein Foto des photoTAN-Aktivierungsbriefs an.

Banken betonen: Sie fordern niemals per SMS oder E-Mail zur Eingabe sensibler Daten auf. Die Polizei warnt zudem vor Betrugsanrufen. Dabei geben sich Täter als Bankmitarbeiter aus, um TAN-Freigaben zu erschleichen – selbst die angezeigte Rufnummer kann gefälscht sein.

So funktioniert die Sicherheit von photoTAN

Die Stärke des Verfahrens liegt im Zwei-Geräte-Prinzip. Eine Transaktion, die am Computer gestartet wird, muss über ein zweites, unabhängiges Gerät freigegeben werden – meist ein Smartphone mit der photoTAN-App.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet diese Methode als sicher. Voraussetzung: Banking und TAN-Erstellung laufen konsequent auf getrennten Geräten. Die höchste Sicherheitsstufe bietet ein dediziertes photoTAN-Lesegerät. Es ist gegen Schadsoftware wie Trojaner immun, da es nur diesen einen Zweck erfüllt.

Das Risiko: Alles auf einem Smartphone

Das Sicherheitskonzept bricht zusammen, wenn Nutzer Banking- und TAN-App auf demselben Smartphone verwenden. IT-Experten warnen seit langem vor diesem Risiko. Ist das Gerät mit einem Banking-Trojaner infiziert, kontrolliert der Angreifer potenziell beide Sicherheitsfaktoren.

Schadprogramme wie der Trojaner “Anatsa” schleichen sich oft über scheinbar harmlose Apps aus inoffiziellen Stores ein. Sie zeichnen Tastatureingaben auf, lesen den Bildschirm aus und manipulieren im Hintergrund Überweisungen. Der Nutzer sieht korrekte Daten in der App, gibt aber eine Überweisung an die Betrüger frei.

Der Mensch als Schwachstelle

Die aktuelle Angriffswelle zielt nicht auf technische Lücken, sondern auf den Faktor Mensch. Mit psychologischen Tricks – Social Engineering – erzeugen die Kriminelle Druck. Sie drohen mit Kontosperrung und suggerieren höchste Eile, um ihr Opfer zu unüberlegten Handlungen zu treiben.

Die Herausforderung bleibt bestehen: Technische Verfahren werden immer sicherer, doch die Aufklärung der Nutzer ist entscheidend. Banken und Behörden intensivieren ihre Informationskampagnen. Letztlich liegt es aber an jedem Einzelnen, die Sicherheitsregeln korrekt anzuwenden und verdächtige Vorgänge zu hinterfragen.

So schützen Sie sich wirksam

Betrüger werden ihre Methoden weiter verfeinern. Persönlichere Nachrichten, vielleicht sogar mit Hilfe Künstlicher Intelligenz, sind wahrscheinlich. Dauerhafte Wachsamkeit ist deshalb unerlässlich. Experten empfehlen diese Regeln:

• Links in unaufgeforderten Nachrichten niemals anklicken. Ihre Bank kontaktiert Sie nicht auf diesem Weg.
• Stets das Zwei-Geräte-Prinzip anwenden. Online-Banking und TAN-Freigabe gehören auf separate Geräte.
• Bankadresse immer manuell eingeben. Nutzen Sie die offizielle App oder tippen Sie die Webadresse selbst ein.
• Apps nur aus offiziellen Stores laden. Meiden Sie inoffizielle Quellen wie Dritt-Anbieter.
• Kontoumsätze regelmäßig prüfen. Melden Sie verdächtige Buchungen sofort Ihrer Bank und der Polizei.
• Zugangsdaten niemals preisgeben. PIN, TAN oder Passwörter werden von Ihrer Bank nie telefonisch oder per E-Mail abgefragt.

PS: Übrigens: Wenn Sie sich gegen solche Angriffe wappnen wollen, enthält das Anti-Phishing‑Paket konkrete Vorlagen und Praxistipps zur Erkennung von Social-Engineering-Tricks sowie eine Schritt-für-Schritt-Checkliste für den Ernstfall. Perfekt, um sofortigen Schutz zu etablieren. Jetzt Anti‑Phishing‑Toolkit sichern