Illustration eines Reverse-NFC-Angriffs: Ein Nutzer hält sein Smartphone an einen Geldautomaten, während Cyberkriminelle die Transaktion manipulieren und Geld auf Täterkonten umleiten.
Bei Reverse-NFC-Angriffen bringen Kriminelle ihre Opfer dazu, Geld selbst auf Täterkonten zu transferieren.
Bildquelle: ChatGPT

NFC-Betrug explodiert: Opfer überweisen ihr Geld direkt an Kriminelle

von Antonia Frank Lesezeit: 7 Min.

NFC-Betrug nimmt drastisch zu: Kaspersky registriert 188 Prozent mehr Angriffe. Täter bringen Opfer dazu, Geld direkt an sie zu überweisen.

Inhalt

Der IT-Sicherheitsanbieter Kaspersky registriert 188 Prozent mehr NFC-Angriffe auf Smartphones. Die Sicherheitsforscher beobachten dabei eine neue Generation des digitalen Bankraubs: Die Täter stehlen das Geld nicht mehr nur, sondern bringen ihre Opfer dazu, Geld direkt an Cyberkriminelle zu überweisen.

188 Prozent mehr NFC-Angriffe auf Smartphones

Kontaktloses Bezahlen hat sich in den vergangenen Jahren vom praktischen Komfortmerkmal zum festen Bestandteil des Alltags etabliert. Millionen Menschen bezahlen mit dem Smartphone, hinterlegen ihre Bankkarten in digitalen Wallets und nutzen die NFC-Technologie (Near Field Communication) für kontaktlose Zahlungen. Die Funktechnik ermöglicht nur eine Datenübertragung über kurze Reichweiten. Dennoch nutzen Cyberkriminelle diese vermeintliche Sicherheit für ihre Zwecke aus.

Laut aktuellen Telemetriedaten von Kaspersky ist die Zahl der registrierten NFC-Angriffe in den ersten vier Monaten des Jahres 2026 im Vergleich zum Vorjahreszeitraum um satte 188 Prozent gestiegen. Zwischen Januar und April blockierten die Sicherheitslösungen des Unternehmens rund 35.600 Attacken durch Android-Malware mit NFC-Funktionen. Im gleichen Zeitraum des Vorjahres wurden rund 12.300 Vorfälle verzeichnet.

Vom Forschungsprojekt zur Betrugsindustrie

Im Zentrum vieler Kampagnen steht das ursprünglich legitime Open-Source-Projekt NFCGate, das bereits 2015 von Studenten der Technischen Universität Darmstadt entwickelt wurde. Ursprünglich diente die Software dazu, NFC-Kommunikation zu analysieren und zu testen. Cyberkriminelle erkannten jedoch früh das Potenzial der Technik.

Aus dem Forschungswerkzeug entstanden im Laufe der Zeit zahlreiche manipulierte Varianten, die aktuell unter Namen wie NGate, SuperCard X und PhantomCard bekannt sind. Die Programme nutzen sogenannte NFC-Relay-Techniken, bei denen NFC-Signale in Echtzeit über das Internet weitergeleitet werden.

Entsprechende Werkzeuge werden in der Cybercrime-Szene als Malware-as-a-Service (MaaS) angeboten. Kriminelle können die Software gegen Bezahlung mieten, ohne selbst über tiefgreifende technische Kenntnisse verfügen zu müssen.

Der klassische NFC-Relay-Angriff

Bei klassischen NFC-Relay-Angriffen kontaktieren Betrüger ihre Opfer meist per Messenger, SMS oder Telefon. Unter einem Vorwand, etwa einer angeblichen Sicherheitsüberprüfung durch die Bank, werden die Betroffenen dazu gebracht, eine vermeintlich seriöse Anwendung zu installieren. Anschließend sollen sie ihre Bankkarte an das Smartphone halten und die PIN eingeben.

Auf diese Weise erhalten die Angreifer Zugriff auf die Kartendaten. Die Informationen werden über das kompromittierte Gerät an die Täter weitergeleitet und können anschließend für Zahlungen oder Bargeldabhebungen missbraucht werden. Diese Form des digitalen Kartendiebstahls ist bereits gut dokumentiert. Die Täter haben jedoch mittlerweile ihre Methoden weiterentwickelt. Sie setzen zunehmend auf Angriffsmethoden, bei denen die Betroffenen ungewollt Teil des Betrugs werden.

Die neue Betrugsmasche: Das Opfer erledigt die Arbeit selbst

Kaspersky warnt vor einer neuen Angriffstechnik, die Sicherheitsforscher als Reverse-NFC-Angriff bezeichnen. Anders als bei klassischen NFC-Relay-Angriffen benötigen die Täter dabei nicht einmal mehr die Kartendaten ihrer Opfer. Stattdessen wird eine manipulierte App installiert, die als Standardanwendung für kontaktloses Bezahlen eingerichtet werden soll. Kaspersky zufolge kommuniziert die manipulierte Anwendung danach unbemerkt mit der Infrastruktur der Angreifer. Dabei überträgt die Schadsoftware die NFC-Daten einer von den Tätern kontrollierten Zahlungskarte auf das Smartphone des Opfers. Für die Betroffenen bleibt dieser Vorgang vollkommen unbemerkt. Anschließend setzen die Täter auf gezielte Manipulation durch Social Engineering.

Illustration eines NFC-Betrugs: Eine manipulierte Smartphone-App warnt scheinbar vor Gefahren, während Cyberkriminelle im Hintergrund Kartendaten und digitale Wallets für Betrugsangriffe nutzen.
NFC-Betrug beginnt häufig mit einer manipulierten App, die unbemerkt mit der Infrastruktur der Täter kommuniziert.

Die Kriminellen behaupten beispielsweise, das Bankkonto sei gefährdet oder es müsse dringend Geld auf ein angeblich sicheres Konto transferiert werden. Danach lotsen die Täter ihre Opfer zu einem Geldautomaten. Dort führt der Nutzer die vermeintliche Sicherheitsmaßnahme selbst durch.

Hält er sein Smartphone an den NFC-Leser des Automaten, landet das eingezahlte Geld jedoch nicht auf einem geschützten Konto, sondern direkt bei den Tätern. Aus diesem Grund gilt diese Form des Smartphone-Betrugs als besonders gefährlich. Für Banken und Zahlungsdienstleister sehen die Transaktionen zunächst völlig legitim aus, weil die Opfer sämtliche Schritte eigenständig durchführen. Kaspersky-Sicherheitsexperte Sergey Golovanov kommentiert:

„Während Cyberkriminelle früher hauptsächlich auf sogenannte Direct-NFC-Angriffe gesetzt haben, beobachten wir inzwischen häufiger die komplexere Reverse-NFC-Methode. Die Gefahr dieser neueren, ausgefeilteren Methode besteht darin, dass diese Betrugsart schwerer zu erkennen und zu bekämpfen ist, da die Opfer selbst Geld auf die Konten der Angreifer überweisen und solche Transaktionen schwer von legitimen zu unterscheiden sind. Wir schließen nicht aus, dass sich die NFC-Relay-Malware weiterentwickelt und das geografische Ausmaß der Angriffe zunimmt. Daher sollte diese Bedrohung weiterhin genau beobachtet werden.“

Apple Pay, Google Wallet und Ghost Tap: Digitale Wallets im Visier der Täter

Kaspersky beobachtet jedoch nicht nur Angriffe auf Android-Geräte. Die Sicherheitsforscher registrieren auch weitere Betrugsformen rund um digitale Bezahlsysteme wie Apple Pay oder Google Wallet. Diese Angriffe unterscheiden sich technisch von den zuvor beschriebenen NFCGate- und Reverse-NFC-Kampagnen. Zunächst gelangen Kriminelle dabei über Phishing-Kampagnen an Kartendaten und Einmalcodes. Die Täter nutzen die gestohlenen Kartendaten, Einmalcodes (OTP) und weitere Informationen, um die betroffene Zahlungskarte in Apple Pay, Google Wallet oder anderen digitalen Wallets zu registrieren.

Zusätzliche Risiken entstehen durch sogenannte Ghost-Tap-Angriffe. Bei dieser Methode werden NFC-Signale über das Internet zwischen mehreren Geräten weitergereicht. Ein Komplize kann bei dieser Masche in einem Geschäft oder an einem Geldautomaten bezahlen, während sich die digitale Wallet mit der registrierten Zahlungskarte an einem völlig anderen Ort befindet. Für viele Terminals ist nicht erkennbar, dass die NFC-Kommunikation über eine Relay-Verbindung weitergeleitet wurde.

Europa bleibt im Fokus der Täter

Erste Berichte über Angriffe mit manipulierten NFCGate-Versionen tauchten laut Kaspersky Ende 2023 in Europa auf. Mittlerweile haben sich die Kampagnen international ausgebreitet. Zwar registrieren Sicherheitsforscher die meisten Vorfälle derzeit in Russland, doch auch Nutzer in Europa und Lateinamerika geraten vielfach ins Visier der Angreifer.

Die zunehmende Professionalisierung der Tätergruppen sowie die Verbreitung von Malware-as-a-Service-Angeboten dürften diese Entwicklung zusätzlich beschleunigen.

So schützen sich Nutzer vor NFC-Angriffen

Die wichtigste Verteidigung gegen NFC-Betrug beginnt nicht bei der Technik, sondern beim eigenen Verhalten. Ein gesundes Maß an Misstrauen gegenüber unerwarteten Anrufen, Nachrichten oder App-Installationen kann bereits viele Angriffe vereiteln. Keine seriöse Bank wird ihre Kunden dazu auffordern, eine Zahlungskarte an ein Smartphone zu halten oder die PIN in einer mobilen App einzugeben.

Zum Schutz vor NFC-Betrug empfiehlt Kaspersky folgende Maßnahmen:

  • Apps ausschließlich aus offiziellen App-Stores installieren
  • Keine Anwendungen über Links aus Messenger-Diensten, SMS, sozialen Netzwerken oder Telefonanrufen installieren
  • Nur vertrauenswürdige Apps für kontaktloses Bezahlen als Standard festlegen
  • Niemals die eigene Bankkarte an ein Smartphone halten, wenn eine App oder eine fremde Person dazu auffordert
  • Anweisungen von Unbekannten an Geldautomaten grundsätzlich ignorieren
  • Die Standardanwendung für kontaktloses Bezahlen regelmäßig überprüfen
  • App-Berechtigungen kontrollieren und verdächtige Anwendungen entfernen
  • Sicherheitssoftware auf Android-Geräten einsetzen
  • Bei Verdacht umgehend die Bank kontaktieren
  • Kompromittierte Zahlungskarten sofort sperren lassen

NFC-Betrug: Angriff auf das Vertrauen

Der aktuelle Anstieg von Reverse-NFC-Angriffen zeigt, dass sich Täter nicht mehr nur auf das Stehlen von Kartendaten oder die Verbreitung von Schadsoftware beschränken. Stattdessen nutzen sie raffinierte Social-Engineering-Techniken, um ihre Opfer aktiv in den Betrugsprozess einzubinden. Damit verschiebt sich der Schwerpunkt von technischen Schwachstellen stärker auf die Manipulation menschlichen Verhaltens. Das erklärt, warum die aktuelle Welle von NFC-Betrugsfällen so erfolgreich und gefährlich ist.

Jetzt kommentieren
Mehr zu dem Thema

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.