BSI warnt vor massiver Quishing-Welle auf Smartphones

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eindringlich vor einer neuen Angriffswelle gewarnt. Im Fokus steht das sogenannte Quishing – eine Kombination aus QR-Code und Phishing. Betrüger nutzen manipulierte Codes im öffentlichen Raum und in gefälschten Briefen, um an Bankdaten zu gelangen. Künstliche Intelligenz macht die Angriffe dabei perfekt.

Smartphones sind das neue Hauptziel

Cyberangriffe haben sich laut BSI rasant vom E-Mail-Postfach auf mobile Kanäle verlagert. Smartphones sind mittlerweile das Hauptziel für Banking-Betrug. Der Grund: Sie sind als ständige Begleiter tief in den finanziellen Alltag integriert. Kriminelle setzen gezielt auf Quishing und Smishing (Phishing per SMS), um etablierte Sicherheitssysteme auszuhebeln.

Da Smartphones für Banking und private Kommunikation immer unverzichtbarer werden, ist ein gezielter Schutz vor mobiler Schadsoftware heute wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen Schritt für Schritt, wie Sie Ihr Android-Gerät mit einfachen Mitteln effektiv gegen Hacker und Datenklau absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Herkömmliche Sicherheitswerkzeuge auf PCs können die manipulierten QR-Codes oft nicht erkennen. Der Angriff zielt direkt auf das mobile Endgerät. Die Behörden melden bereits enorme finanzielle Schäden in ganz Deutschland. Die Botschaft ist klar: Das routinemäßige Scannen von Codes ist zu einem echten Risiko geworden.

So funktioniert der Betrug im Alltag

Die Masche beginnt oft offline. Eine häufige Taktik ist das physische Überkleben legitimer QR-Codes. An Parkscheinautomaten oder E-Ladesäulen landen Nutzer so auf täuschend echten Fälschungen, die nach Kreditkartendaten fragen. In Dortmund mussten Stadtmitarbeiter bereits Dutzende manipulierte Codes von Automaten entfernen.

Doch die Betrüger dringen auch in Briefkästen vor. Gefälschte Paketbenachrichtigungen oder angebliche Bankbriefe mit QR-Codes werden verschickt. Die Polizei in Sachsen-Anhalt warnte kürzlich vor einer solchen Serie. Der Vorwand: eine notwendige Datenaktualisierung. Ein Scan gefährdet das Online-Banking sofort.

Warum der übliche Schutz versagt

Die Gefahr liegt in der Intransparenz. Einem QR-Code sieht man seine bösartige Zieladresse nicht an. Bei einer E-Mail kann man den Absender prüfen – beim Scannen entfällt diese Kontrolle. Viele Smartphone-Kameras öffnen Links sofort im Browser. Das Opfer landet unverzüglich auf der gefälschten Seite.

Digitale E-Mail-Filter greifen bei physischen Aufklebern oder Briefen ins Leere. Die Angreifer nutzen eine Schwachstelle, die von gängiger IT-Sicherheit kaum abgedeckt wird. Hinzu kommt: Smartphones haben oft weniger robuste Schutzsoftware als Firmenrechner. Der Mensch wird zur entscheidenden Schwachstelle.

KI wirkt als Brandbeschleuniger

Ein entscheidender Treiber für die Professionalisierung ist generative Künstliche Intelligenz. Früher verrieten Phishing-Versuche sich durch schlechte Grammatik. Heute generieren KI-Modelle in Sekunden fehlerfreie, personalisierte Texte, die massiven Druck aufbauen. Die gefälschten Websites sind optisch kaum vom Original zu unterscheiden.

Laut dem Phishing-Radar der Verbraucherzentrale werden derzeit angebliche Kontodaten-Aktualisierungen im Namen bekannter Banken verschickt. Die Täter drohen mit Kontosperrungen, falls der Code nicht sofort gescannt wird. Die Kombination aus technischer Tarnung und psychologischer Manipulation durch KI lässt selbst versierte Nutzer zunehmend in die Falle tappen.

So können Sie sich schützen

Angesichts der rasanten Verbreitung wird persönliche Wachsamkeit zur wichtigsten Verteidigung. Experten raten zu äußerster Vorsicht bei QR-Codes im öffentlichen Raum. Prüfen Sie an Automaten haptisch, ob ein Code überklebt wurde. Nutzen Sie wenn möglich die offizielle App des Anbieters statt eines unbekannten Codes.

Auf technischer Ebene hilft eine einfache Einstellung: Deaktivieren Sie in der Smartphone-Kamera oder Scanner-App das automatische Öffnen von Links. So können Sie die URL vor dem Aufruf prüfen. Unaufgeforderte Briefe mit QR-Codes sollten immer kritisch hinterfragt und im Zweifel über die offizielle Website verifiziert werden. Die Bedrohung durch KI-gestützte Angriffe wird weiter zunehmen – Skepsis bleibt unerlässlich.