Digitale Wallets wie Apple Pay und Google Pay gelten als bequem, schnell und modern. Gerade diese Bequemlichkeit eröffnet Betrügern in Großbritannien derzeit eine neue Spielwiese, auf der sie Bankkonten leerräumen, ohne jemals eine Plastikkarte in der Hand zu halten.
Wie Kriminelle Karten klauen, ohne sie anzufassen
Der neue Betrug startet nicht mit einer dramatischen Nachtaktion am Geldautomaten, sondern still und leise Wochen vorher. Cyberkriminelle sammeln zuerst persönliche und finanzielle Daten über die spätere Zielperson.
Sie nutzen dazu gezielte Phishing-Kampagnen: E-Mails, SMS oder Social-Media-Nachrichten, die scheinbar von Behörden, Paketdiensten oder Online-Shops stammen. Versprochen werden Steuererstattungen, staatliche Hilfen oder exklusive Rabatte. Viele Opfer erinnern sich später zwar an eine „komische Nachricht“, ziehen aber keinen direkten Zusammenhang zum späteren Schaden.
Mit den so erbeuteten Daten – Name, Adresse, Kontaktdaten, teilweise sogar Kartendaten – legen die Täter eine Art Dossier an. Sie warten einige Wochen, bis der erste Schreck beim Opfer abgeklungen ist. Dann startet Phase zwei.
Die perfekte Bankanruf-Attrappe
Der Angriff gipfelt in einem Anruf, der wie ein offizieller Bank-Call wirkt. Die Nummer im Display wirkt vertrauenswürdig, teilweise sogar identisch mit der echten Service-Hotline. Die Täter kennen Details zum Konto, zur letzten Überweisung oder zur Kartennummer.
Die größte Waffe der Betrüger ist nicht die Technik, sondern das perfekt inszenierte Gefühl von Dringlichkeit und Bedrohung.
Der angebliche Bankmitarbeiter schildert verdächtige Transaktionen, die das Opfer natürlich nicht kennt. Das baut Druck auf. Der Ton bleibt höflich, aber bestimmt. Es gehe um „Sicherheitsmaßnahmen“, „sofortigen Schutz“ oder „einen laufenden Angriff“. Wer da am Telefon sitzt, gerät schnell in Panik.
Dann folgt der entscheidende Schritt: Der Anrufer erklärt, man müsse das Konto „absichern“ und die Karte gegen weitere Angriffe „schützen“. Es gehe um eine technische Umstellung, die nur wenige Sekunden dauere.
Der eigentliche Trick: Die Karte im fremden Wallet
Was in Wirklichkeit passiert: Die Täter fügen die Karte des Opfers zu einem digitalen Wallet auf ihrem eigenen Smartphone hinzu – etwa Apple Pay oder Google Pay. Dieser Vorgang löst bei der Bank eine völlig legitime Sicherheitsabfrage aus.
➡️ So organisieren Sie Küchenhandtücher, um Platz zu sparen und die Küche aufgeräumt wirken zu lassen
➡️ Wie Klimawandel extreme Wetterereignisse häufiger und kostspieliger für Gemeinden macht
➡️ This country is quietly stacking green records while Europe falls behind
➡️ Was passiert, wenn du 7 Tage lang dieselbe Uhrzeit aufstehst – überraschende Effekte
Das Opfer erhält nun eine echte Benachrichtigung der Bank, zum Beispiel:
- Push-Nachricht in der Banking-App
- SMS mit einem einmaligen Bestätigungscode
- In-App-Abfrage, ob die Karte zu einem Wallet hinzugefügt werden darf
Der Anrufer kündigt diese Nachricht meist schon vorher an. Er erklärt sie als Teil der „Sicherheitsprozedur“, die angeblich einen laufenden Betrug stoppt. Viele Betroffene lesen die Warnhinweise gar nicht mehr richtig, weil sie sich bereits mitten in einer Stresssituation befinden.
Wer hier auf „Bestätigen“ tippt oder den Code am Telefon durchgibt, autorisiert keinen Schutz – sondern aktiviert die eigene Karte auf dem Gerät der Täter.
Die Bank meldet später zu Recht: Die Transaktionen wurden per starker Kundenauthentifizierung freigegeben. Formal hat das Opfer selbst den Zugriff auf sein Wallet erteilt – nur eben in einem perfekt manipulierten Kontext.
Nächster Schritt: High-End-Shopping im Akkord
Sobald die Karte im fremden Wallet aktiv ist, handeln die Betrüger in Minutenschnelle. Sie kaufen teure und möglichst leicht verwertbare Ware:
- hochpreisige Smartphones, Tablets und Laptops
- Designermode, Sneaker, Handtaschen
- Elektronik bei großen Handelsketten, die schnelle Abholung ermöglichen
Solche Produkte lassen sich auf dem Sekundärmarkt relativ schnell und mit überschaubarem Verlust weiterverkaufen. So verwandeln die Täter digitale Zahlungslimits in physische Ware – und diese kurz darauf in Bargeld.
Mehrere britische Banken berichten, dass genau diese Form der Wallet-Fraud inzwischen zu den größten Verlusttreibern bei Kartenbetrug gehört. Santander nennt sie die zweitwichtigste Ursache für Kartenverlust im Jahr 2024, HSBC beobachtet einen sprunghaften Anstieg in den vergangenen 18 Monaten.
Warum herkömmliche Sicherheitslogik hier versagt
Der Fall wirkt im Nachhinein logisch, im Moment des Angriffs aber überhaupt nicht. Psychologisch treffen die Täter mehrere Nervpunkte gleichzeitig:
Stress, Zeitdruck, Autorität
Das Opfer hört: „Ihr Geld ist gerade in Gefahr“ und „wir müssen sofort handeln“. Dazu kommt die Autorität einer vermeintlichen Bankmitarbeiterin, die vertrauliche Details kennt. Die Kombination aus Fachsprache, Dringlichkeit und echten Daten erzeugt ein Gefühl: Wer jetzt zögert, riskiert noch größeren Schaden.
Viele Opfer beschreiben später, wie sie Warnmeldungen zwar gesehen, aber innerlich „weggewischt“ haben, weil sie völlig auf das gesprochene Wort des Anrufers fixiert waren.
Legitime Technik im Dienst der Kriminellen
Die eingesetzte Technik ist eigentlich ein Sicherheitsgewinn: Eine Karte darf nicht einfach so in ein Wallet eingezogen werden, es braucht eine starke Authentifizierung. Genau diese Hürde nutzen die Täter aus, indem sie das Opfer dazu bringen, sie selbst für das falsche Gerät zu überwinden.
Apple weist darauf hin, dass nicht der Konzern selbst die Karte autorisiert, sondern die jeweilige Bank. Google äußert sich derzeit nicht öffentlich. Klar ist: Der Vorgang ist technisch sauber, der Missbrauch findet im Kopf der Nutzerinnen und Nutzer statt.
Wie Banken jetzt reagieren
Banken und Branchenverbände stehen unter Druck, auf diese Angriffswelle zu reagieren. UK Finance, die Interessenvertretung des britischen Finanzsektors, sieht einen direkten Zusammenhang mit besseren Schutzmechanismen bei klassischen Betrugsformen. Kriminelle weichen auf Szenarien aus, in denen der Mensch das schwächste Glied darstellt.
Einige Institute gehen inzwischen gezielt gegen Wallet-Betrug vor:
| Institut | Maßnahmen gegen Wallet-Fraud |
|---|---|
| HSBC | Spezifische Sicherheitschecks bei Hinzufügen von Karten, weitere Verschärfungen für 2025 angekündigt |
| Nationwide | Kampagnen, die vor der Weitergabe von Einmalcodes am Telefon warnen, stärkere Hinweise in Apps |
| UK Finance | Empfehlung, Push-Benachrichtigungen in Echtzeit zu aktivieren und jede Wallet-Freigabe kritisch zu prüfen |
Parallel dazu schärfen Banken ihre Aufklärung: Sie betonen, dass sie zur Sicherung eines Kontos keine aktive Hilfe des Kunden benötigen. Konten lassen sich zentral sperren, ohne dass jemand am Telefon Codes vorlesen oder Freigaben tippen muss.
Wer am Telefon gebeten wird, einen SMS-Code zu nennen oder eine Wallet-Anfrage zu bestätigen, sollte automatisch misstrauisch werden – selbst wenn der Anruf „echt“ wirkt.
Konkrete Schutzstrategien für Nutzerinnen und Nutzer
Verbraucher bleiben nicht wehrlos. Mit einigen konsequenten Regeln sinkt das Risiko deutlich:
- Keine Codes am Telefon: Einmalpasswörter, TANs oder SMS-Codes nie mündlich weitergeben.
- Unbekannte Anrufe beenden: Gespräch auflegen, offizielles Servicetelefon der Bank selbst wählen und nachfragen.
- Wallet-Anfragen genau lesen: Steht da „Karte zu Apple/Google Pay hinzufügen“, ist das fast nie zur „Sicherung“ nötig.
- Echtzeit-Benachrichtigungen aktivieren: Jede Kartenbewegung und jede Wallet-Änderung per Push-Nachricht überwachen.
- Phishing-Lernkurve nutzen: Merkwürdige Mails, SMS und Social-Media-Nachrichten kritisch behandeln, auch wenn sie verlockend klingen.
Wer unsicher ist, kann mit seiner Bank vereinbaren, dass sensible Änderungen (z. B. neue Geräte, hohe Limits) nur nach zusätzlichem Rückruf oder in der Filiale möglich sind. Nicht jede Bank bietet das an, aber Nachfragen lohnt sich.
Was dieser Trend über digitale Sicherheit verrät
Der britische Wallet-Betrug wirkt wie ein Vorgeschmack auf Konflikte, die auch in anderen Ländern anstehen. Mobile Payment wächst, gleichzeitig steigt das technische Schutzniveau. Für Kriminelle liegt die logische Antwort darin, Menschen stärker zu manipulieren.
KI-basierte Betrugserkennung, biometrische Verfahren und mehrstufige Logins erschweren klassische Angriffe. Das verschiebt die Arena: Statt Fremde unbemerkt ins System zu schleusen, müssen Täter die legitime Kundin dazu bringen, die Tür selbst zu öffnen.
Langfristig wird sich daran viel entscheiden: Gelingt es Banken, Versicherern und Technik-Anbietern, Sicherheitskonzepte so zu gestalten, dass sie auch im Stress verständlich bleiben? Oder gewinnen jene, die perfektes Storytelling für ihre Betrugsanrufe einsetzen?
Für Verbraucher lohnt es sich, ein eigenes Ritual zu entwickeln: Jede Sicherheitsnachricht der Bank kurz stoppen, laut lesen, zwei Sekunden nachdenken. Diese winzige Pause kann verhindern, dass eine scheinbar harmlose Wallet-Freigabe zur teuersten Fingerbewegung des Monats wird.
