Cyberkriminelle, Weihnachtsgeschäft

Cyberkriminelle nutzen Weihnachtsgeschäft für Angriffswelle

24.12.2025 - 18:12:11

Cyberkriminelle nutzen Weihnachtsgeschäft für Angriffswelle - Foto: über boerse-global.de
Cyberkriminelle nutzen Weihnachtsgeschäft für Angriffswelle - Foto: über boerse-global.de

Smishing-Attacken und gefälschte Lieferlinks schnellen um 86 Prozent in die Höhe – Sicherheitsexperten warnen vor einer perfiden Betrugswelle zum Fest.

Mittwoch, 24. Dezember 2025

Während das Weihnachtsgeschäft heute seinen Höhepunkt erreicht, schlagen Cybersicherheitsexperten und Behörden Alarm: Eine massive Welle von Betrugsangriffen über Mobilfunknachrichten rollt auf Verbraucher zu. Neue Daten zeigen einen Anstieg von Smishing-Attacken (SMS-Phishing) um satte 86 Prozent. Im Fokus stehen dabei gefälschte Zustell-Websites, die Zahlungsdaten und Bestätigungscodes abgreifen sollen.

Hinter der Welle steckt eine ausgeklügelte Masche, die die Hektik der letzten Weihnachtseinkäufe ausnutzt. Sicherheitsanalysten meldeten am Montag einen beispiellosen Anstieg gefälschter Zustell-Websites. Diese sind das Ziel millionenfach versendeter Betrugs-SMS. Die Nachrichten geben vor, eine Paketzustellung sei gescheitert oder es falle eine kleine Nachgebühr an.

„Das Volumen dieser ‚verpasste Zustellung‘-Texte hat ein Rekordniveau erreicht“, warnte etwa Metro India. Die Betrüger gehen gezielt vor und nutzen offenbar Daten von Personen, die tatsächlich Pakete erwarten.

Der Ablauf ist meist zweistufig:
1. Der Köder: Eine SMS erscheint – oft im selben Nachrichtenverlauf wie echte Kurierbenachrichtigungen – und warnt vor einem „zurückgehaltenen Paket“ oder „ungezahlten Zollgebühren“.
2. Der Haken: Das Opfer wird auf eine gefälschte Website geleitet, die DHL, FedEx oder nationale Postdienste täuschend echt nachahmt. Dort soll eine kleine Gebühr (oft unter drei Euro) bezahlt werden. Dabei werden die Kreditkartendaten erbeutet. Auf einer folgenden „Verifizierungs“-Seite wird dann der Einmalkennwort (OTP) der Bank abgefangen. Damit können die Kriminellen im Hintergrund weitaus größere Transaktionen autorisieren.

Anzeige

Smishing, gefälschte Zustell‑Links und OTP‑Abfang sind zur realen Gefahr geworden — der Anstieg um 86 % spricht Bände. Das kostenlose Anti‑Phishing‑Paket zeigt in vier klaren Schritten, wie Sie gefälschte SMS erkennen, sichere Prüfwege einrichten und OTP‑Diebstahl verhindern. Praktische Tipps für Verbraucher und Händler, inklusive Schutz gegen Social‑Engineering am Telefon und gefälschte Zustellseiten. Jetzt das Anti‑Phishing‑Paket herunterladen

Neue Android-Schadsoftware liest sogar verschlüsselte Chats

Die Bedrohung geht über einfache Phishing-Links hinaus. Forscher stellten am 22. Dezember den neuen Android-Banking-Trojaner „Sturnus“ vor. Diese Schadsoftware stellt eine ernste Gefahr für sichere Messaging-Dienste dar.

Sturnus attackiert nicht die Netzwerkverbindung, sondern agiert direkt auf dem Gerät. Laut Berichten kann die Malware Nachrichten von Apps wie WhatsApp, Telegram und Signal abfangen – nachdem sie auf dem Bildschirm des Nutzers entschlüsselt wurden.

„Sturnus nutzt die Barrierefreiheits-Dienste von Android missbräuchlich“, so Forscher. „So kann sie Verifizierungscodes und Zwei-Faktor-Authentifizierungstoken direkt vom Display ablesen und umgeht so den End-zu-End-Verschlüsselungsschutz.“

Parallel verbreitet sich der Schädling „Frogblight“, ein „SMS-Stealer“, der über gefälschte Apps verteilt wird und Kontakte sowie OTPs erbeutet.

Der „Nachnahme“-Betrug: Soziales Engineering an der Haustür

Eine besonders hinterlistige Variante des OTP-Betrugs thematisierte die Hindustan Times am heutigen 24. Dezember. Sie zielt speziell auf Nachnahme-Bestellungen (COD) ab.

Hier rufen Betrüger – die möglicherweise Zugang zu kompromittierten Händlerdatenbanken haben – Kunden an, die kürzlich ein Paket erhalten haben. Der Anrufer gibt vor, er habe den Zustellbestätigungscode (OTP) an der Haustür „vergessen“ einzusammeln, und bittet darum, diesen zur „Abwicklung der Bestellung“ mitzuteilen.

Tatsächlich handelt es sich bei dem Code um ein Login-OTP für das Kundenkonto des Opfers. Wird es preisgegeben, erlangt der Angreifer vollen Zugriff. Er kann gespeicherte Zahlungsmethoden stehlen oder betrügerische Bestellungen aufgeben. Diese soziale Manipulation nutzt das Vertrauen des Opfers in den Lieferprozess und die Verwirrung um Bestätigungsverfahren aus.

Künstliche Intelligenz als Brandbeschleuniger der Kriminalität

Die Raffinesse der aktuellen Kampagnen unterstreicht die wachsende Rolle Künstlicher Intelligenz (KI) in der Cyberkriminalität.

„Wir erleben ‚Social Engineering 2.0‘“, erklärt ein Cybersicherheitsanalyst. „KI-Tools ermöglichen es Betrügern, grammatikalisch perfekte Textnachrichten zu generieren und legitime Websites in Sekunden zu kopieren. Für den Durchschnittsnutzer ist es fast unmöglich, Betrug von einer echten Benachrichtigung zu unterscheiden.“

Die Strafverfolgung schlägt zurück. Interpol meldete am 23. Dezember die Ergebnisse der „Operation Sentinel“. Der koordinierte Schlag in Afrika führte zu hunderten Festnahmen und der Sicherung von umgerechnet rund 2,7 Millionen Euro Diebesgut. Die Operation zielte auf die Infrastruktur für Betrugsangriffe ab und störte einige der für die aktuelle Spam-Welle verantwortlichen Netzwerke.

Ausblick 2026: Zero-Trust für mobile Kommunikation

Für das kommende Jahr zeichnet sich ein Paradigmenwechsel ab: hin zu einem „Zero-Trust“-Modell für mobile Kommunikation.

  • Für Verbraucher gilt: Jeden unaufgeforderten Link als bösartig behandeln. „Öffnen Sie bei einer Lieferbenachrichtigung niemals den Link in der SMS“, rät die US-Handelsaufsicht FTC. „Nutzen Sie stattdessen die offizielle App des Händlers oder suchen Sie dessen Website direkt auf.“
  • Unternehmen werden voraussichtlich die Einführung von Passkeys und hardwarebasierten Sicherheitsschlüsseln beschleunigen, um anfällige SMS-OTPs zu ersetzen.
  • Strafverfolgung: Der Erfolg von Operationen wie Sentinel dürfte die grenzüberschreitende Zusammenarbeit intensivieren, um „Malware-as-a-Service“-Plattformen zu bekämpfen.

Das Fazit zum Fest: Das Paket mag zwar angekommen sein, die digitale Bedrohung lauert jedoch weiter vor der Tür – und sie wird immer raffinierter.

Anzeige

PS: Wer heute Pakete erwartet, sollte seine digitale Abwehr verstärken. Das Anti‑Phishing‑Paket liefert eine einfache 4‑Punkte-Anleitung gegen SMS‑Betrug, OTP‑Diebstahl und falsche Zustellseiten – inklusive Checkliste, Erkennungsregeln und Sofortmaßnahmen. Kostenlos zum Download und sofort anwendbar für Verbraucher und kleine Händler. Anti‑Phishing‑Paket jetzt kostenlos sichern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler