Im Sommer 2018 wurde der Google Play Store mit gefälschten Apps überflutet. Das Problem: Arglose Nutzer:innen konnten die gefälschten Apps oft nicht als solche identifizieren, da sie den offiziellen Apps täuschend ähnlich sahen. Die Folge: Die gefälschten Apps gelangten an viele persönlichen Daten, Passwörter und Sicherheitsfragen – und konnten somit erheblichen finanziellen Schaden anrichten.1
Auch heute noch gibt es immer wieder betrügerische Zahlungs-Apps, die legitime Bank-, Bargeld- und Transaktionsanwendungen imitieren. Das breite Spektrum dieser gefälschten Apps – von Online-Banking-Anwendungen über Geldtransfer-Apps und digitalen Geldbörsen bis hin zu Fotobearbeitungssoftware – macht es den Nutzer:innen oft schwer, den Betrug auf den ersten Blick zu erkennen.2
Dieser Artikel erklärt, was beim Downloaden von Apps zu beachten ist, und wie gefälschte Zahlungs-Apps erkannt werden können.
„Fake Apps“ (auf Deutsch gefälschte Apps) sind Anwendungen, die sich als legitime Dienste ausgeben, jedoch in Wirklichkeit betrügerische Absichten verfolgen. Generell werden Apps vor allem für Smartphones genutzt, aber es gibt auch Web-Apps, die Anwendungen im Internet ausführen.3
Gefälschte Zahlungs-Apps werden meist erstellt, um einen finanziellen Vorteil auf betrügerische Weise zu erlangen. Sie werden entwickelt, um persönliche Daten wie Bankkontoinformationen oder Kreditkartendetails abzugreifen, betrügerische Transaktionen durchzuführen oder sogar Schadsoftware (sogenannte „Malware“) auf den Geräten der Nutzer:innen zu verbreiten.2
Zu den Risiken gefälschter Apps gehören deshalb Identitätsdiebstahl, finanzielle Verluste und andere schwerwiegende Folgen. Das Bundeskriminalamt warnt regelmäßig vor Fake-Apps – auch, weil bereits im Namen des Amtes gefälschte E-Mails verschickt wurden.4,5
Betrügerische Apps werden oft so entwickelt, dass sie den legitimen Diensten ähnlich sehen und deren Funktionalität nachahmen. Die gefälschten Zahlungs-Apps benutzen oft ähnlich klingende Namen oder subtil veränderte Logos, Interface-Layouts und sogar interaktive Elemente wie Schaltflächen und Menüs. Die Psychologie dahinter: Das Vertrauen in bekannte Marken soll ausgenutzt werden. Wenn die falschen Apps als legitim wahrgenommen werden, sind Anwender:innen oft weniger aufmerksam und somit auch weniger skeptisch.6
Gefälschte Zahlungs-Apps lassen sich in verschiedene Kategorien einteilen, von denen jede ihre eigenen Merkmale und Methoden hat, um Nutzer:innen zu täuschen. Im Folgenden werden die verschiedenen Arten von Online-Betrug näher erklärt.
Falsche Apps gleichen legitimen Apps oft in verblüffendem Maße. Erreicht wird diese Ähnlichkeit z.B. durch das Kopieren von Logo-Designs, Farbschemata und Gestaltung der Original-Apps. Dadurch kann der Eindruck von Authentizität erweckt werden. Ein weiterer Trick ist die Verwendung von ähnlichen App-Namen oder leicht veränderten Versionen.6
Das gilt auch für gefälschte Zahlungs-Apps: Die Anmeldebildschirme bzw. Eingabemasken für Login-Namen und Passwörter imitieren oft das Erscheinungsbild bekannter Finanz- oder Zahlungsanwendungen. Sie erfassen anschließend die Anmeldeinformationen der Nutzer:innen und können so die Sicherheitsprotokolle umgehen.
Auch offizielle Apps können böswillig verändert oder „umverpackt“ werden, indem schädlicher Code hinzugefügt wird. Die veränderten Versionen greifen auf den originalen Quellcode zurück, können jedoch mit zusätzlichen bösartigen Funktionen angereichert sein.
Diese umverpackten Apps locken oft mit zusätzlichen Funktionen oder kostenlosen Diensten, um Nutzer:innen zum Herunterladen zu motivieren. Beispielsweise können gefälschte Banking-Apps zusätzliche Funktionen wie kostenfreie Kredite oder Zinsen bieten, während sie heimlich sensible Daten wie Bankkontoinformationen abgreifen.7
Banking-Trojaner sind eine Form von Malware, die sich als harmlose und nützliche Apps tarnen und im Hintergrund unbemerkt schädliche Aktivitäten ausführen. Ein häufiges Vorgehen von diesen gefälschten Apps besteht darin, legitime Banking-Apps zu überlagern, zum Beispiel indem sie gefälschte Anmeldebildschirme darüber legen, um Login-Namen und Passwörter abzufangen.7
Banking-Trojaner können auch andere schädliche Funktionen ausführen, wie zum Beispiel das Abfangen von Transaktionscodes für die Zwei-Faktor-Authentifizierung, das Versenden von gefälschten SMS oder das Umleiten von Geldtransaktionen.
Phishing-Apps können verschiedene Taktiken einsetzen, um Nutzer:innen zu täuschen. Sie können beispielsweise gefälschte Benachrichtigungen senden, die behaupten, dass eine aktualisierte Version einer Bank- oder Zahlungs-App über einen Link verfügbar ist. Wenn Nutzer:innen dann ihre Anmeldeinformationen oder andere persönliche Daten eingeben, können diese abgefangen werden.4
Ein weiteres typisches Phishing-Szenario sind falsche Banking-Apps, die behaupten, zusätzliche Funktionen oder Dienste anzubieten, wie z.B. kostenlose Kredite oder Zinssätze. Hinter den vermeintlichen Schnäppchen lauert die Gefahr der finanziellen Verluste. Hier gilt es, besonders wachsam zu sein und sich vor Phishing-Angriffen zu schützen.
Den Begriff „Phishing“ kennen heutzutage viele Menschen, und sie wissen auch, wie sie sich gegen Online Phishing Attacken schützen können. Was aber verbirgt sich hinter „Smishing”? Ganz einfach: eine Form von Phishing, die über SMS oder andere Kurznachrichtendienste betrieben wird. Dabei werden gefälschte SMS-Nachrichten an Nutzer:innen gesendet, um sie dazu zu verleiten, persönliche Informationen auf betrügerischen Websites einzugeben oder schädliche Apps herunterzuladen.
Diese SMS-Phishing-Nachrichten können vorgeben, von vertrauenswürdigen Quellen wie Banken, Zahlungsanbietern oder Regierungsbehörden zu stammen. Sie enthalten oft alarmierende oder besonders überzeugende Nachrichten, die die Empfänger:innen dazu drängen, sofort zu handeln, indem sie auf einen Link klicken oder eine angegebene Telefonnummer anrufen. Ein typisches Beispiel sind die „Hallo Mama“-WhatsApp-Nachrichten, bei denen persönliche Daten abgefangen werden sollen.8
Um sich vor Smishing-Angriffen zu schützen, ist es wichtig, keine persönlichen Informationen preiszugeben oder auf verdächtige Links oder Anhänge in SMS-Nachrichten zu klicken, insbesondere wenn diese von unbekannten Absender:innen stammen. Mit der ständig steigenden Raffinesse gefälschter Apps ist es unerlässlich, wachsam zu bleiben: Apps sollten nur aus vertrauenswürdigen Quellen heruntergeladen und auf verdächtige Aktivitäten überprüft werden. Außerdem sollten Updates regelmäßig installiert werden.
Um gefälschte Apps zu identifizieren, ist es wichtig, folgende Warnzeichen erkennen und bewerten zu können:
Beim Herunterladen neuer Apps ist ein deutliches Anzeichen für eine gefälschte App oft eine sichtbare Diskrepanz in der Designqualität im Vergleich zur offiziellen Version. Deshalb sollte die Benutzungsoberfläche der App immer mit den Screenshots aus dem offiziellen App-Store oder der Website des Dienstanbieters verglichen werden.
Echte Apps haben in der Regel sowohl positive als auch negative Bewertungen, was reale Erfahrungen widerspiegelt. Gefälschte Apps hingegen zeigen oft übermäßig positive, sich wiederholende oder sehr allgemeine Bewertungen.
Auch auf die Details in den Bewertungen sollte geachtet werden: legitime Apps enthalten oft spezifische Einblicke in die Nutzung der App, während Bewertungen für gefälschte Apps vage sein können. Ebenso können sich wiederholende Formulierungen in mehreren Bewertungen ein Indiz für Manipulation sein.6
Es ist wichtig, Zahlungs-Apps nur aus sicheren Quellen herunterzuladen. Legitime Zahlungs-Apps sind normalerweise auf anerkannten Plattformen wie dem Google Play Store oder dem App Store von Apple erhältlich. Es wird davon abgeraten, Apps von inoffiziellen Websites oder Links in E-Mails oder SMS herunterzuladen. Für die Bezahlung von Apps aus sicheren Quellen sollte auch immer eine sichere Bezahlmethode verwendet werden, zum Beispiel mit der sicheren Zahlung durch die PayPal-App.
Vor dem Herunterladen sollten die Informationen zu den App-Entwickler:innen überprüft werden. Dazu zählen der Name, die Kontaktdaten und andere von ihnen veröffentlichte Apps. Gefälschte Apps stammen oft von Entwickler:innen, die keine Erfolgsbilanz haben oder inkonsistente Details aufweisen.9
Legitime Apps zeichnen sich durch Sicherheitsfunktionen und guten Kundensupport aus. Ein zusätzlicher Tipp für mehr Sicherheit: Die BaFin (Bundesanstalt für Finanzaufsicht) reguliert die Kundenauthentifizierung im elektronischen Zahlungsverkehr und informiert regelmäßig über ihr Vorgehen, beispielsweise im digitalen Stammtisch.10
Neben dem Rat, sichere Alternativen zu nutzen, sollten Nutzer:innen auch darauf achten, sicher zu bezahlen und sich vor Betrug zu schützen, zum Beispiel durch den PayPal-Käuferschutz.
Mit einem wachsamen Auge und etwas Übung können Nutzer:innen sich vor gefälschten Zahlungs-Apps schützen. Im Umgang mit gebrauchten Handys ist Vorsicht geboten. Die Software von Smartphones und Computer sollte regelmäßig auf den neuesten Stand gebracht werden. Wichtig ist auch die Nutzung von Verschlüsselungssoftware, Virenscanner und Firewall.
Achtung bei USB-Sticks und Ladegeräten von Drittanbietern – hier besteht die Möglichkeit, dass Schadsoftware aufgespielt wird. Wer versteht, wie Schutz vor Betrug funktioniert, die eigenen Daten durch regelmäßige Backups sichert und eine sichere Methode verwendet, um mit dem Smartphone zu bezahlen, macht schon vieles richtig.
Trotz aller Vorsicht kann es passieren, dass eine gefälschte Zahlungs-App heruntergeladen wird. Nachdem dies bemerkt wurde, sollten die folgenden Schritte unternommen werden:12
Nicht zuletzt kann es helfen, sich bei der Hausbank über weitere Schritte zur Schadensbegrenzung zu informieren und immer sichere Zahlungs-Apps oder Bezahlmethoden zu verwenden. Hier sind weitere Informationen zur sicheren Bezahlung mit PayPal.
Wenn Sie Cookies akzeptieren, verwenden wir diese, um Ihre Erfahrung zu verbessern und anzupassen und unseren Partnern zu ermöglichen, Ihnen personalisierte PayPal-Anzeigen zu zeigen, wenn Sie andere Websites besuchen. Cookies verwalten und mehr erfahren