BSI warnt vor KI-gestützter QR-Code-Betrugswelle

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Verbraucherschützer schlagen Alarm. Sie warnen vor einer massiven Welle von KI-gestützten QR-Code-Betrügereien, sogenanntem „Quishing“. Kriminelle nutzen generative KI, um täuschend echte Phishing-Szenarien zu entwerfen, die herkömmliche Sicherheitsfilter umgehen.

Seit dieser Woche verzeichnen Behörden einen signifikanten Anstieg dieser Betrugsversuche. Moderne KI-Tools erstellen nun personalisierte und sprachlich fehlerfreie Köder, die von offiziellen Mitteilungen kaum zu unterscheiden sind. Diese Entwicklung markiert einen Wendepunkt in der mobilen Sicherheit.

Banking, PayPal und Online-Shopping – auf keinem Gerät speichern wir so viele sensible Daten wie auf dem Smartphone, was sie zum Hauptziel für KI-gestützte Angriffe macht. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Hackern und Viren schützen. Gratis-Sicherheitspaket für Android-Smartphones jetzt sichern

KI schreibt die perfekte Phishing-Nachricht

Die Qualität der Betrugsnachrichten hat eine neue Dimension erreicht. Das Volumen von KI-gestütztem Betrug ist laut Analysten im vergangenen Jahr um über 1.200 Prozent gestiegen. Die Systeme generieren hochgradig kontextbezogene Nachrichten, die auf aktuelle Ereignisse oder Nutzerdaten reagieren.

Ein QR-Code ist für das menschliche Auge nur ein abstraktes Muster. Das Ziel des Links bleibt vor dem Scannen unsichtbar. Die KI sorgt für den nötigen Handlungsdruck: Nachrichten suggerieren dringende Sicherheitsüberprüfungen oder drohende Kontosperrungen. Als Vorwand dienen oft angebliche neue EU-Richtlinien oder Compliance-Vorschriften.

Besonders alarmierend ist die Umgehung technischer Schutzmaßnahmen. Während E-Mail-Filter bösartige Text-Links blockieren, werden in Bilder eingebettete QR-Codes oft ignoriert. Die Verteidigungslinie verschiebt sich so direkt auf das Smartphone des Nutzers.

Gefälschte Codes an Ladesäulen und Parkscheinautomaten

Quishing beschränkt sich längst nicht mehr auf den digitalen Raum. In den letzten Tagen häuften sich Meldungen über manipulierte QR-Codes im öffentlichen Raum. Kriminelle überkleben legitime Codes an Parkscheinautomaten, E-Auto-Ladesäulen oder in öffentlichen Verkehrsmitteln.

Ein aktuelles Beispiel betrifft Kunden von Zahlungsdienstleistern und Genossenschaftsbanken. Sie erhalten Nachrichten zur angeblichen Verifizierung ihrer Telefonnummer. Der enthaltene QR-Code führt auf perfekt nachgebaute Login-Seiten, die Zugangsdaten abgreifen.

Zusätzlich nutzen Angreifer die aktuelle Steuerzeit. Über hundert verschiedene Kampagnen tarnten sich im ersten Quartal als Mitteilungen von Finanzbehörden. Diese zielen oft darauf ab, die Zwei-Faktor-Authentifizierung (2FA) auszuhebeln, indem sie Nutzer dazu bringen, Einmal-Passwörter auf gefälschten Seiten einzugeben.

Mobile Exploits verschärfen die Gefahr

Die Entdeckung neuer Sicherheitslücken auf mobilen Plattformen verschärft die Bedrohung. Ende März warnten Forscher vor der „DarkSword“-Exploit-Kette, die Schwachstellen in Smartphone-Betriebssystemen ausnutzt. Ein Besuch einer präparierten Webseite kann so ausreichen, um Schadsoftware ohne Zutun des Nutzers zu installieren.

Die mobile Management-Infrastruktur von Unternehmen gerät zunehmend unter Beschuss. Ein erfolgreicher Angriff auf ein privates, auch geschäftlich genutztes Smartphone dient oft als Sprungbrett in Unternehmensnetzwerke. Mobile Browser, die die vollständige URL einklappen, erschweren das Erkennen gefälschter Domains zusätzlich.

Ein weiteres Problem ist das „Adversary-in-the-Middle“-Prinzip (AiTM). Moderne Phishing-Kits fangen Anmeldedaten und Sitzungs-Cookies in Echtzeit ab. Selbst mit korrektem Passwort und zweitem Faktor können Angreifer so die aktive Sitzung übernehmen. Herkömmliche SMS-Codes werden damit als alleiniges Sicherheitsmerkmal unzureichend.

So schützen Sie sich vor QR-Code-Betrug

Angesichts der Professionalisierung der Angreifer raten Experten zu einer Anpassung des Sicherheitsverhaltens. Die wichtigste Regel: Scannen Sie QR-Codes niemals blind, besonders nicht aus E-Mails oder von leicht zugänglichen Stellen im öffentlichen Raum.

Sicherheitsbehörden empfehlen spezielle QR-Scanner-Apps. Diese zeigen den hinterlegten Link zunächst an und prüfen ihn, bevor die Seite öffnet. Prüfen Sie die Webadresse kritisch auf minimale Buchstabendreher oder ungewöhnliche Domain-Endungen. Im Zweifel rufen Sie die Webseite des Anbieters immer manuell im Browser auf.

Da herkömmliche Passwörter bei modernen Phishing-Angriffen oft kein Hindernis mehr darstellen, empfehlen Experten den Wechsel auf sicherere Alternativen. Wie Sie Passkeys bei Diensten wie WhatsApp oder Amazon einrichten und sich so vor Datenklau schützen, erfahren Sie in diesem kostenlosen Report. Kostenlosen Passkey-Leitfaden herunterladen

Für den Schutz von Konten gewinnt die Umstellung auf hardwarebasierte Sicherheitslösungen an Bedeutung. FIDO2-Sicherheitsschlüssel oder Passkeys gelten als effektivste Verteidigung gegen AiTM-Angriffe. Sie sind kryptografisch an die echte Domain gebunden und lassen sich nicht durch gefälschte Seiten täuschen.

Das digitale Wettrüsten hat begonnen

Die Prognosen deuten darauf hin, dass sich die Bedrohungslage weiter verschärfen wird. Kriminelle Netzwerke setzen vermehrt auf „Multi-Channel“-Angriffe. Ein Opfer wird über verschiedene Kanäle kontaktiert – etwa durch eine KI-E-Mail, gefolgt von einem Deepfake-Anruf.

Die integration von KI in den gesamten Angriffszyklus ermöglicht es Tätern, ihre Kampagnen in Echtzeit anzupassen. Sobald Sicherheitsforscher eine Masche entlarven, können KI-Modelle innerhalb von Minuten neue Varianten erstellen. Die Verteidigungsseite ist damit zunehmend auf KI-gestützte Erkennungssysteme angewiesen.

Langfristig wird die digitale Identität zum zentralen Angriffsziel. Der Diebstahl und die Erstellung synthetischer Identitäten mithilfe von KI bleiben die größte Herausforderung. Für Verbraucher wird ein gesundes Misstrauen gegenüber digitalen Interaktionen – egal wie perfekt sie erscheinen – zur unverzichtbaren Basiskompetenz.

boerse | 69051853 |