Sicherheitsbehörden warnen vor neuer Smishing-Welle

Internationale Sicherheitsbehörden und Tech-Konzerne haben koordinierte Warnungen vor professionellen Betrugskampagnen veröffentlicht. Im Fokus: automatisierte Smishing-Plattformen und Spezial-Malware, die gezielt Anmeldedaten und Finanzinformationen von Smartphone-Nutzern stehlen.

FBI, BSI und Cybersicherheitsfirmen berichten von zunehmend professionalisierten Täterstrukturen. Diese setzen verstärkt auf SIM-Farmen und sogenannte SMS-Blaster.

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken

„KYCShadow“: Neue Malware kapert WhatsApp

Ende April 2026 identifizierten Sicherheitsforscher die Schadsoftware „KYCShadow“. Die Kampagne richtet sich primär gegen Bankkunden in Indien – und nutzt WhatsApp als Verbreitungsweg.

Die Angreifer verschicken APK-Installationsdateien, getarnt als dringende Updates für Identitätsprüfungen (Know Your Customer, KYC). Nach der Installation agiert die Software als zweistufiger Dropper: Eine erste Komponente installiert heimlich eine zweite Payload mit weitreichenden Berechtigungen.

Die Malware kann SMS abfangen, Anrufe steuern und USSD-Codes ausführen. Ziel ist die Erfassung von Mobilfunknummern, ATM-PINs und nationalen Identitätsmerkmalen wie Aadhaar-Nummern. Forscher empfehlen, Traffic zu Domains wie jsonapi[.]biz zu blockieren.

Signal im Visier von Staatstrojanern

Parallel dazu richtet sich eine Phishing-Welle gegen Politiker, Diplomaten und Journalisten in Deutschland, den Niederlanden und Großbritannien. Ziel: Signal-Nutzer.

Die Signal Foundation betont, dass die Verschlüsselung nicht kompromittiert wurde. Stattdessen setzen die Angreifer auf Social Engineering – sie geben sich als Support-Mitarbeiter aus, um Registrierungs-PINs oder QR-Codes zu erbeuten. Hinter den Angriffen werden staatlich gesteuerte Akteure vermutet.

BSI und Verfassungsschutz raten dringend zur Aktivierung der Registrierungssperre.

SMS-Blaster: 13 Millionen Netzstörungen in Kanada

Die Skalierung der Betrugsversuche ermöglicht spezialisierte Hardware. In Kanada verhaftete die Polizei im April 2026 drei Männer, die einen SMS-Blaster betrieben haben sollen.

Die Geräte imitieren legitime Mobilfunkmasten und zwingen Smartphones im Umkreis von bis zu einem Kilometer ins unsichere 2G-Netz. So versenden sie massenhaft Phishing-SMS – ohne Kenntnis der Telefonnummern. In Toronto führte das zu schätzungsweise 13 Millionen Netzwerkstörungen. Zeitweise waren sogar Notrufe beeinträchtigt.

Ähnliche Vorfälle aus der Schweiz: In Basel nahmen Behörden einen chinesischen Staatsbürger fest, der Teil eines Netzwerks sein soll. Mit Koffergeräten erreichte die Gruppe an einem Tag rund 100.000 Smartphones. In Genf und Waadt entstanden Schäden in Millionenhöhe.

Experten raten Android-Nutzern, 2G in den Einstellungen zu deaktivieren. iPhone-Besitzer können den Blockierungsmodus nutzen.

SIM-Farmen: 87 Standorte in 17 Ländern

Ergänzt werden die Methoden durch globale SIM-Farmen. Bereits im Februar 2026 deckten Ermittler die Plattform „ProxySmart“ auf – betrieben von Belarus aus, mit 87 Standorten in 17 Ländern.

Diese Infrastrukturen nutzen hunderte Modems und zehntausende SIM-Karten. Sie erstellen Massenkonten in sozialen Netzwerken und versenden Smishing-Nachrichten. US Secret Service und Europol zerschlugen in den vergangenen Monaten mehrere solcher Farmen in New York und Lettland. Zehntausende SIM-Karten wurden beschlagnahmt.

Angesichts der raffinierten Methoden von Cyberkriminellen ist ein proaktiver Schutz des eigenen Geräts unverzichtbar. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Android-Smartphone sofort gegen Hacker und Datenmissbrauch absichern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen

2,1 Milliarden Dollar Verlust durch Social-Media-Betrug

Die wirtschaftlichen Folgen sind massiv. Laut FTC verloren US-Bürger 2025 rund 2,1 Milliarden Dollar durch Betrugsfälle mit Ursprung in sozialen Medien. Das entspricht einem achtfachen Anstieg im Vergleich zu 2020.

Besonders betroffen: Investment-Betrug (1,1 Milliarden Dollar Verlust) sowie Shopping- und Romance-Scams. Fast 30 Prozent der Opfer gaben an, der erste Kontakt sei über Facebook, WhatsApp oder Instagram zustande gekommen.

Das FBI bestätigte Ende April 2026 einen Anstieg der Smishing-Meldungen um 700 Prozent. Über 10.000 betrügerische Domains wurden identifiziert, die Behörden wie das Verkehrsamt, Mautdienste oder Paketdienstleister imitieren. Ein einziger Täter sei in der Lage, täglich bis zu zwei Millionen SMS zu versenden.

Auch Australien meldet gestiegene Verluste durch Investment-Betrug und Phishing. Besonders alarmierend: Die Schadenssummen bei jungen Erwachsenen (18 bis 24 Jahre) stiegen um über 80 Prozent.

Apple, Samsung und Nothing liefern Sicherheitsupdates

Als Reaktion auf die Bedrohungslage haben Tech-Unternehmen Updates bereitgestellt. Apple veröffentlichte am 27. April 2026 iOS 26.4.2. Es behebt eine kritische Schwachstelle bei gelöschten Benachrichtigungen – eine Lücke, die unter anderem das FBI zur Rekonstruktion von Kommunikationsverläufen nutzte.

Samsung rollte One UI 8.5 auf Basis von Android 16 aus. Neben neuen KI-Funktionen enthält das Paket den Sicherheitspatch für April 2026. Nothing stellte für acht Modelle das Update 4.1 bereit.

Google warnte zudem vor der Gruppe UNC6692. Diese kombiniert E-Mail-Bombing mit gefälschten IT-Support-Anfragen über Microsoft Teams. Ziel: Installation schädlicher Browser-Erweiterungen und Python-basierter Backdoors.

Was Nutzer jetzt tun sollten

Sicherheitsexperten und Behörden wie das BSI empfehlen konsequente digitale Hygiene:

• Deaktivieren Sie nicht benötigte Funkstandards wie 2G oder Bluetooth in unsicheren Umgebungen
• Nutzen Sie Zwei-Faktor-Authentifizierung und Registrierungssperren in Messenger-Diensten
• Installieren Sie Apps ausschließlich aus offiziellen Quellen (Google Play Store, Apple App Store)
• Prüfen Sie jede SMS kritisch, die zur Eingabe von Daten oder Zahlung auffordert

Die Ermittlungen gegen Plattformen wie ProxySmart und die Festnahmen im Zusammenhang mit SMS-Blastern zeigen: Internationale Behörden nehmen verstärkt die technische Infrastruktur der Täter ins Visier. Für Mai 2026 kündigte Apple zudem eine Ende-zu-Ende-Verschlüsselung für den RCS-Standard an – das soll die Sicherheit in der Kommunikation zwischen verschiedenen Betriebssystemen erhöhen.

de | boerse | 69251715 |