Hong Kong: Großangelegte Phishing-Welle trifft drei Banken

Die Hongkonger Finanzaufsicht HKMA schlägt Alarm: Kriminelle haben gefälschte Banking-Websites im Netz platziert, die täuschend echt aussehen. Betroffen sind drei renommierte Banken – und die Zahl der Opfer könnte weiter steigen.

Was nach einem alltäglichen Cybercrime-Vorfall klingt, entwickelt sich zu einer ernsten Bedrohung für das Vertrauen in Hongkongs Finanzsektor. Anfang Dezember 2025 identifizierte die Hong Kong Monetary Authority (HKMA) betrügerische Login-Seiten, die Kunden der Chiyu Banking Corporation, Shanghai Commercial Bank und Chong Hing Bank ins Visier nehmen. Die Masche: Perfekt nachgebaute Internet-Banking-Oberflächen, die Nutzer zur Preisgabe ihrer Zugangsdaten verleiten sollen.

Die zeitliche Ballung der Warnmeldungen ist kein Zufall. Am 1. Dezember ging die erste Warnung raus, tags darauf folgte eine weitere dringende Mitteilung der HKMA. Die Aufsichtsbehörde spricht von einer “koordinierten Welle” betrügerischer Aktivitäten – ein Hinweis darauf, dass dahinter vermutlich organisierte Gruppen stecken.

Gefälschte Login‑Seiten und manipulierte SMS- oder E‑Mail‑Links sind genau die Tricks, die derzeit massive Schäden verursachen. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie Fake‑Domains erkennen, verdächtige Nachrichten überprüfen, sofortige Schutzmaßnahmen einleiten und unbefugte Zugriffe verhindern. Enthalten sind Praxisbeispiele realer Angriffe sowie eine Checkliste für Mitarbeiter und IT‑Verantwortliche. Jetzt Anti-Phishing-Paket kostenlos herunterladen

Die Zielunternehmen sind keine Kleinstbanken: Alle drei Institute gehören zum etablierten Kreis der Retail-Banking-Anbieter in der asiatischen Finanzmetropole. Die technische Qualität der Fälschungen macht es selbst erfahrenen Nutzern schwer, auf den ersten Blick Ungereimtheiten zu erkennen.

Besonders perfide: Die Betrüger setzen auf psychologische Tricks. Wer etwa per SMS oder E-Mail einen Link erhält, der angeblich zu dringenden Sicherheitsupdates führt, fühlt sich unter Druck gesetzt – und klickt im Zweifel doch.

Was Bankkunden jetzt wissen müssen

Die HKMA stellt klar: Keine seriöse Bank versendet Login-Links per SMS oder E-Mail. Wer eine solche Nachricht erhält, sollte sie ignorieren und direkt bei seiner Bank nachfragen – allerdings nicht über die in der verdächtigen Nachricht angegebenen Kontaktdaten.

Die Behörde rät zu folgender Vorgehensweise:

• Banking-URLs immer manuell in den Browser eingeben
• Offizielle Mobile Apps nutzen statt Browser-Links
• Bei Verdacht sofort die Bank über die Nummer auf der Bankkarte kontaktieren
• Vorfälle unter der Hotline 2860 5012 der Hongkonger Polizei melden

Wer bereits auf eine gefälschte Seite hereingefallen ist, sollte keine Zeit verlieren. Unbefugte Transaktionen können binnen Minuten durchgeführt werden, sobald die Täter Zugriff auf die Konten haben.

Dauerproblem digitale Finanzkriminalität

Diese Vorfälle reihen sich ein in eine Serie ähnlicher Angriffe, die Hongkongs Bankensektor seit Monaten beschäftigen. Die HKMA hat das Jahr 2025 über hinweg kontinuierlich vor Phishing-E-Mails, gefälschten Banking-Apps und SMS-Betrug gewarnt.

Als Gegenmaßnahme betreibt die Aufsicht gemeinsam mit der Polizei die “Scameter”-Datenbank – ein System, das verdächtige Konten erfasst und Nutzer bei Überweisungen automatisch warnt. Doch gegen die ständig neu registrierten Fake-Domains kommen auch technische Schutzmechanismen an ihre Grenzen.

Cybersecurity-Experten rechnen gerade zur Weihnachtszeit mit verstärkten Angriffen. Der Grund: höheres Transaktionsvolumen und womöglich unaufmerksamere Nutzer in der hektischen Vorweihnachtszeit.

Wie geht es weiter?

Marktbeobachter erwarten engere Kooperationen zwischen Banken und Telekommunikationsanbietern, um betrügerische Links bereits auf Netzwerkebene zu blockieren. Doch die beste Verteidigungslinie bleibt der informierte Kunde.

Die wiederkehrenden Warnmeldungen zeigen: Kriminelle entwickeln ihre Methoden ständig weiter, generieren neue Domains und passen ihre Vorlagen an. Ein endgültiger Sieg über diese Form der Cyberkriminalität ist nicht in Sicht – nur das ständige Wettrüsten zwischen Betrügern und Sicherheitsbehörden.

Für Nutzer gilt die eiserne Regel: Im Zweifel lieber einmal zu viel bei der Bank anrufen als einmal zu wenig. Die paar Minuten Aufwand können den Verlust des gesamten Kontoguthabens verhindern.

PS: Wenn Sie verhindern möchten, dass Kunden oder Mitarbeiter auf gefälschte Banking‑Seiten hereinfallen, lohnt sich ein kompakter Leitfaden. Das Anti‑Phishing‑Paket zeigt typische psychologische Angriffsmuster, CEO‑Fraud‑Szenarien und sofort umsetzbare Abwehrmaßnahmen für Organisationen jeder Größe. Der Download ist kostenlos und eignet sich auch als Kurzbriefing für Teams. Anti-Phishing-Guide jetzt anfordern