ING-Kunden im Visier: Neue Phishing-Welle setzt Banken unter Druck

Eine hochprofessionelle Phishing-Welle zielt gezielt auf Kunden der ING in Deutschland ab. Die Angreifer setzen auf eine gefährliche Mischung aus digitalen und physischen Betrugsmethoden. Diese Attacke stellt die Sicherheitssysteme der Bank vor eine ernste Bewährungsprobe.

So funktioniert der mehrgleisige Angriff

Die Kriminellen nutzen zwei Hauptkanäle. Zum einen versenden sie täuschend echte E-Mails und SMS-Nachrichten. Diese enthalten dringende Warnungen – etwa vor einer Kontosperrung oder einem angeblichen Ablauf des photoTAN-Verfahrens. Das Ziel: Die Empfänger sollen unter Druck gesetzt werden und unbedacht auf einen Link klicken.

Dieser führt zu einer perfekt nachgebauten ING-Webseite. Alle dort eingegebenen Zugangsdaten landen direkt bei den Betrügern. Die ING betont stets: Sie fordert Kunden niemals per E-Mail, SMS oder Telefon zur Eingabe von Passwörtern oder TANs auf.

Viele Banken stehen aktuell vor der Herausforderung, täuschend echte Phishing‑Mails, SMS‑Fallen und gefälschte QR‑Codes zu erkennen. Das kostenlose Anti‑Phishing‑Paket liefert eine praxisnahe 4‑Schritte‑Anleitung: Erkennung von Quishing‑Briefen, Abwehr von MFA‑Bombing, praktische Checklisten für Compliance‑Teams und Maßnahmen zur Mitarbeiterschulung. Ideal für Banken, IT‑Verantwortliche und Verbraucherzentrale‑Mitarbeiter, die Angriffe schnell und systematisch abwehren wollen. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

„Quishing“: Der gefährliche QR-Code im Brief

Die zweite, besonders tückische Methode ist das sogenannte „Quishing“. Hierbei erhalten Kunden gefälschte, aber offiziell wirkende Briefe der ING. Als Vorwand dienen angebliche neue EU-Geldwäscherichtlinien oder Sicherheitsupdates.

Der entscheidende Haken: Ein im Brief abgedruckter QR-Code. Wird dieser mit dem Smartphone gescannt, landet der Nutzer direkt auf der betrügerischen Banking-Seite. Diese hybride Taktik nutzt das höhere Vertrauen in physische Post aus und umgeht digitale Spam-Filter. Für Laien sind diese Briefe kaum von echten Schreiben zu unterscheiden.

Compliance-Abteilungen in der Zwickmühle

Verbraucherzentralen in ganz Deutschland melden steigende Fallzahlen. Für die Banken ist das nicht nur ein Imageschaden, sondern eine direkte Herausforderung für ihre Compliance-Abteilungen. Diese sind gesetzlich verpflichtet, Kundengelder und Daten wirksam zu schützen.

Der regulatorische Druck ist enorm. Mit dem NIS-2-Umsetzungsgesetz und dem KRITIS-Dachgesetz, die Ende 2025 und Anfang 2026 in Kraft traten, wurden die Sicherheitsanforderungen für systemrelevante Banken massiv verschärft. Die Geschäftsleitung haftet nun persönlich für die Umsetzung. Die aktuelle Angriffswelle testet die Widerstandsfähigkeit der Finanzinstitute aufs Äußerste.

Eine neue Eskalationsstufe der Cyberkriminalität

Der Angriff auf die ING ist kein Einzelfall. Er steht für einen gefährlichen Trend: Cyberkriminelle im Finanzsektor werden immer professioneller. Sie kombinieren technische Finesse mit ausgeklügeltem Social Engineering.

Parallel beobachten Experten weitere raffinierte Methoden. Beim „MFA-Bombing“ wird das Smartphone eines Opfers mit Dutzenden Push-Benachrichtigungen zur Transaktionsfreigabe überflutet – bis der Nutzer erschöpft eine betrügerische Anfrage bestätigt. Auch KI-gestützte Deepfakes zur Imitation von Vertrauenspersonen oder Betrug über WhatsApp nehmen zu. Die Bedrohungslage für den deutschen Finanzsektor ist auf einem neuen Höchststand.

Was Kunden jetzt tun müssen – und was Banken tun müssen

Für Verbraucher gilt eine einfache, aber entscheidende Regel: Nie auf Links in unaufgeforderten Nachrichten klicken. Egal ob in E-Mails, SMS oder per QR-Code im Brief. Das Online-Banking sollte stets manuell über die Adresszeile des Browsers oder die offizielle App aufgerufen werden. Bei Zweifeln sofort die Bank über die bekannten offiziellen Kanäle kontaktieren.

Für die Finanzinstitute bedeutet dies: Sie müssen ihre Sicherheitsarchitekturen ständig anpassen. Hybride Angriffe wie „Quishing“ erfordern neue Erkennungsmechanismen und eine intensivierte, mehrkanalige Aufklärung der Kunden. Der Compliance-Druck wird zu weiteren Investitionen in proaktive Abwehrmaßnahmen zwingen. Der Kampf gegen die Finanzkriminalität wird zur Daueraufgabe, bei der technologische Innovation und menschliche Wachsamkeit gleichermaßen gefordert sind.

PS: Übrigens – besonders gefährlich sind personalisierte CEO‑Fraud‑Angriffe und psychologische Tricks, die selbst geübte Kunden täuschen. Das Anti‑Phishing‑Paket enthält zusätzlich Prüflisten für Kundenkommunikation, Vorlagen zur Sensibilisierung und konkrete Handlungsschritte für die Geschäftsleitung, damit Institute nach einer Welle wie dieser schnell reagieren können. Anti‑Phishing‑Paket sichern