Quishing, Smishing, Deepfakes: Betrüger starten Weihnachtsoffensive
05.12.2025 - 12:40:12Kriminelle kombinieren physische Post mit digitalen Angriffen, um Sicherheitsbarrieren zu umgehen. Gefälschte Bankbriefe mit QR-Codes und Paket-SMS nutzen die Weihnachtszeit für Identitätsdiebstahl.
Cyberkriminelle setzen auf neue Hybrid-Taktiken. Im DACH-Raum häufen sich gefälschte Bankbriefe mit QR-Codes, SMS-Fallen und Anrufe mit gestohlenem Insider-Wissen. Die Vorweihnachtszeit wird zur Hochsaison des digitalen Betrugs.
Sicherheitsbehörden schlagen Alarm: Die Täter verlagern ihre Angriffe zunehmend aus dem digitalen Raum in die physische Welt. Ihr Ziel? Die verbesserten Schutzmechanismen von E-Mail-Filtern und Zwei-Faktor-Authentifizierung zu umgehen. Das Smartphone wird dabei zum zentralen Einfallstor für Identitäts- und Finanzdiebstahl.
Der Feind kommt per Post
Die raffinierteste Masche dieser Woche: Quishing 2.0. Haushalte in Deutschland und Österreich erhalten täuschend echte Briefe im Namen von Volksbank, Commerzbank, Deutscher Bank, ING und Barclays. Der Vorwand klingt plausibel: Neue EU-Regularien oder das real existierende “Verification of Payee”-Verfahren würden eine Datenverifizierung erfordern.
Das perfide Detail? Der abgedruckte QR-Code. Viele Nutzer haben gelernt, keine Links in E-Mails anzuklicken. Ein Brief wirkt vertrauenswürdig. Wer den Code scannt, landet auf professionell gefälschten Bankseiten. Sicherheitssoftware auf Smartphones analysiert QR-Codes oft nicht in Echtzeit – selbst vorsichtige Nutzer tappen in die Falle.
QR-Codes in fremden Briefen oder plötzlich erhaltenen SMS sind ein Einfallstor für Drive-by-Downloads und Datendiebstahl. Wer sein Android-Smartphone schützt, reduziert das Risiko erheblich: Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Maßnahmen – von App-Prüfung über Berechtigungen bis zu sicheren Browser-Einstellungen – Schritt für Schritt und praxisnah. Jetzt kostenloses Android-Sicherheitspaket herunterladen
Paket-Stress wird zur Waffe
Pünktlich zum Weihnachtsgeschäft explodiert das Smishing (SMS-Phishing). Die österreichische RTR und deutsche Verbraucherzentralen melden einen massiven Anstieg betrügerischer Kurznachrichten seit Monatsbeginn.
Die Täter nutzen den vorweihnachtlichen Stress gnadenlos aus. “Ihr Paket konnte nicht zugestellt werden” oder “Zollgebühren ausstehend” sind die häufigsten Köder. Neu ist die Qualität der Fälschungen:
- Behörden-Imitate: SMS im Namen von “Austria-ID” oder “FinanzOnline” versprechen Steuerrückzahlungen
- Streaming-Dienste: Angebliche Zahlungsaufforderungen von Disney+ oder Netflix drohen mit Kontosperrung
Wer den Links folgt, riskiert nicht nur Datenverlust. Sogenannte “Drive-by-Downloads” installieren Schadsoftware, die im Hintergrund Passwörter und TANs abgreift.
Anrufer mit Insider-Wissen
Besonders beängstigend: Die neue Dimension des Telefonbetrugs. Die Täter operieren nicht mehr blind. Sie verfügen bereits vor Gesprächsbeginn über detaillierte Datensätze ihrer Opfer – Namen, Adressen, Geburtsdaten, teilweise sogar echte Bankverbindungen.
Diese Informationen stammen aus früheren Darknet-Leaks. Mit diesem Wissen bauen die Kriminellen blitzschnell Vertrauen auf: “Sprechen wir mit Herrn Müller, geboren am…?” Kombiniert mit Spoofing – die echte Telefonnummer der Bank oder Polizei erscheint im Display – ist der Betrug kaum noch zu erkennen.
Warum gerade jetzt?
Der massive Anstieg der “Hybrid-Angriffe” ist keine zufällige Entwicklung. Analysten sehen darin eine direkte Reaktion auf verbesserte digitale Abwehrmechanismen. E-Mail-Filter und 2FA funktionieren mittlerweile so effektiv, dass die Täter den “Faktor Mensch” stärker ins Visier nehmen müssen.
Der Missbrauch realer Ereignisse verleiht den Legenden Glaubwürdigkeit. Die Einführung des IBAN-Namensabgleichs im europäischen Zahlungsverkehr? Perfekter Aufhänger für gefälschte Bankbriefe. Die hektische Adventszeit? Ideal, um die natürliche Skepsis zu senken.
Die Verlagerung auf physische Briefe ist zwar kostenintensiver für die Täter. Sie verspricht aber deutlich höhere Erfolgsquoten, da das Medium Brief nach wie vor hohe Autorität genießt.
KI macht Betrug perfekt
Sicherheitsexperten prognostizieren eine weitere Verschärfung durch KI-Technologien. Die nächste Welle der “Schockanrufe” wird verstärkt auf Deepfake-Stimmen setzen, die Angehörige täuschend echt imitieren.
Auch die Qualität der Phishing-Seiten wird durch KI weiter zunehmen. Grammatikalische Fehler oder holprige Formulierungen als Erkennungsmerkmal? Bald Geschichte.
Vier Regeln zum Selbstschutz
Analoge Skepsis: Scannen Sie niemals QR-Codes in unaufgeforderten Briefen. Rufen Sie Bankseiten immer manuell im Browser auf.
Kein Druck: Seriöse Banken und Behörden setzen Sie niemals per SMS unter Zeitdruck. “Konto wird in 24h gesperrt”? Garantiert Betrug.
Rückruf-Regel: Legen Sie bei Druckversuchen am Telefon sofort auf. Rufen Sie die Institution unter der offiziellen Nummer selbst an – die finden Sie auf der Rückseite Ihrer Bankkarte.
App-Hygiene: Installieren Sie Apps ausschließlich aus Google Play oder Apple App Store, niemals über Links in Nachrichten.
Falls Sie bereits Daten preisgegeben haben: Sperren Sie umgehend Ihren Online-Banking-Zugang und erstatten Sie Anzeige bei der Polizei.
PS: Smishing, gefälschte Briefe und Deepfake-Anrufe treffen oft über das Smartphone. Wer präventiv handelt, kann viele Angriffe stoppen: Der Gratis-Ratgeber erklärt, welche fünf Maßnahmen sofort schützen, wie Sie verdächtige Links und Apps erkennen und welche Einstellungen Sie in nur wenigen Minuten ändern. Gratis-Ratgeber: Die 5 wichtigsten Schutzmaßnahmen für Ihr Android sichern
