BSI warnt vor neuer Welle an KI-gestütztem SMS-Phishing

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Smartphone-Nutzer vor einer massiven neuen Bedrohung. Kriminelle hebeln mit KI-gestütztem SMS-Phishing jetzt systematisch die Zwei-Faktor-Authentifizierung (2FA) aus. Die Schäden liegen im Schnitt bei mehreren Tausend Euro pro Vorfall.

Da Kriminelle immer raffiniertere Methoden nutzen, um Banking-Apps und Messenger auf dem Smartphone zu manipulieren, ist ein proaktiver Schutz unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihr Android-Gerät effektiv gegen Datenklau und Hacker-Angriffe absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Zerschlagung von Tycoon 2FA verlagert Angriffe

Anfang März gelang internationalen Behörden ein Schlag gegen die Cyberkriminalität. Sie zerschlugen die Infrastruktur der Phishing-as-a-Service-Plattform „Tycoon 2FA“. Diese hatte es ermöglicht, die Multi-Faktor-Authentifizierung im großen Stil zu umgehen.

Doch die Störung dieser E-Mail-Plattform hat einen Nebeneffekt: Kriminelle verlagern ihre Angriffe nun verstärkt auf mobile Kanäle. Sie nutzen gezielt das hohe Vertrauen in SMS-Nachrichten aus.

KI schreibt perfekte Phishing-Texte

Das BSI macht generativen KI-Einsatz für die neue Qualität der Angriffe verantwortlich. Die Smishing-Nachrichten weisen keine Rechtschreibfehler mehr auf. Stattdessen sind sie hochgradig personalisiert und bauen psychologischen Druck auf – etwa durch Androhung einer Kontosperrung.

Die Technologie automatisiert auch die nächsten Schritte. Klickt ein Nutzer auf einen Link, leitet ein Echtzeit-Server die Daten weiter und löst gleichzeitig den legitimen 2FA-Prozess aus. So überwinden die Angreifer die Sicherheitshürde in Sekundenschnelle.

So erzwingen Kriminelle die Freigabe

In der Praxis erfordern viele Angriffe direkten Kontakt zum Opfer. Ein typisches Szenario: Eine SMS warnt vor einem abgelaufenen Sicherheitszertifikat der Bank. Gibt das Opfer seine Daten auf der gefälschten Seite ein, loggen sich die Kriminellen beim echten Dienst ein.

Dann kommt das Social Engineering. In einem dokumentierten Fall aus Mainz rief kurz nach der Dateneingabe ein angeblicher Bankmitarbeiter an. Er behauptete von unberechtigten Abbuchungen und bat, mehrere 2FA-Freigaben zu bestätigen. Das Opfer autorisierte so selbst die betrügerische Transaktion.

Herkömmliche Sicherheits-Updates allein reichen oft nicht aus, um komplexe Betrugsmaschen wie Social Engineering oder manipuliertes Online-Banking zu verhindern. Erfahren Sie in diesem kompakten Leitfaden, welche fünf spezifischen Einstellungen Ihr Smartphone spürbar sicherer machen. Kostenlosen Sicherheits-Ratgeber herunterladen

Warum SMS-Codes unsicher werden

Experten verweisen auf fundamentale Schwächen der SMS-basierten 2FA. Die Nachrichten sind nicht Ende-zu-Ende-verschlüsselt und können über Schwachstellen im Mobilfunknetz abgefangen werden. Zudem benötigen Angreifer durch Automatisierung kaum noch technisches Wissen.

Der menschliche Faktor bleibt das größte Risiko. Ist der Nutzer einmal manipuliert, wird auch der stärkste Mechanismus nutzlos. Das hat Konsequenzen: Gerichte werten die Freigabe von Codes nach einer Phishing-SMS oft als grobe Fahrlässigkeit. Die Rückerstattung von Geld wird dann schwierig.

Phishing-resistente Verfahren als Zukunft

Die Branche treibt daher den Wechsel zu phishing-resistenten Verfahren voran. Technologien wie FIDO2-Sicherheitsschlüssel und Passkeys gelten als zukunftsweisend. Sie binden den Login kryptografisch an ein spezifisches Gerät. Ein Abfangen der Codes ist technisch unmöglich.

Kurzfristig setzen Anbieter auf gerätebasierte KI, die bösartige Links in Echtzeit erkennen soll. Solange aber SMS-2FA im Alltag verankert bleibt, geht der Wettlauf zwischen Behörden und Kriminellen weiter. Aufklärung bleibt daher ein essenzieller Baustein.

boerse | 68831412 |