QR-Code-Phishing, Quishing-Anstieg

QR-Code-Phishing: Quishing-Anstieg um 25% laut Report 2026

Veröffentlicht: 14.07.2026 um 04:06 Uhr, Redaktion boerse-global.de

QR-Code-Phishing-Attacken steigen um 25 Prozent. KI-gestützte Methoden umgehen selbst Multi-Faktor-Authentifizierung und gefährden Unternehmen.

Quishing-Angriffe: QR-Code-Phishing wird zur Massengefahr 2026
Ein grün leuchtender QR-Code auf einem Bildschirm in einem dunklen Serverraum, umgeben von verschwommenen digitalen Datenströmen, die eine Cyberbedrohung symbolisieren. Illustration mit AI erstellt übermittelt durch boerse-global.de

Sicherheitsdienstleister melden einen drastischen Anstieg von sogenannten Quishing-Angriffen – mit KI-Unterstützung und neuen Methoden, die selbst Multi-Faktor-Authentifizierung aushebeln.

Der Hoxhunt-Report 2026 verzeichnet einen Zuwachs von 25 Prozent im Vergleich zum Vorjahr. Auch Microsoft Defender schlägt Alarm: Der Anteil von Quishing-Kampagnen an allen Phishing-Aktivitäten stieg von 10 auf 30 Prozent.

Die Medienbruch-Lücke

Das Gefahrenpotenzial von QR-Codes liegt in der Medienbruch-Taktik. Nutzer scannen die Codes häufig mit ihren privaten oder geschäftlichen Mobilgeräten – und verlassen damit die kontrollierte Netzwerksicherheit ihrer Workstations. So umgehen Angreifer etablierte Schutzwälle und die Multi-Faktor-Authentifizierung effizient.

Inzwischen machen QR-Codes rund 11 Prozent des gesamten Phishing-E-Mail-Volumens aus.

M365 im Visier

Besonders Microsoft-365-Umgebungen sind betroffen. Ein seit April 2026 aktiver Akteur namens Pink kombiniert Vishing (Voice Phishing) mit manipulierten Webseiten, um die Passkey-Registrierung von Nutzern zu kapern. Die Opfer landen auf gefälschten Entra-Seiten, auf denen Angreifer eigene FIDO2-Schlüssel im Konto hinterlegen.

Die Datenexfiltration erfolgt oft innerhalb von 72 Stunden nach der Kompromittierung. Betroffen sind vor allem Technologie, Gesundheitswesen sowie die Automobil- und Luftfahrtindustrie.

Phishing als Dienstleistung

Anzeige

Der Hoxhunt-Report 2026 verzeichnet einen Anstieg von 25 Prozent bei QR-Code-Phishing – und KI-optimierte Kampagnen erreichen Klickraten von bis zu 54 Prozent. Bevor Ihre Konkurrenz die Medienbruch-Lücke ausnutzt, sollten Sie jetzt handeln. Jetzt kostenlosen Quishing-Schutz-Report anfordern

Die Einstiegshürden für Cyberkriminelle sinken rasant. Ein neuer Dienst namens Forg365 kombiniert Gerätecode-Phishing mit Adversary-in-the-Middle-Angriffen (AitM) und nutzt KI-generierte Köder. Für monatliche Gebühren erhalten Käufer Zugriff auf Dashboards und Browsererweiterungen für dauerhaften Zugriff auf kompromittierte Sitzungen.

KI-gestütztes Phishing ist deutlich effektiver. Während klassische Phishing-Mails eine Klickrate von etwa 12 Prozent erzielen, erreichen KI-optimierte Kampagnen Quoten von bis zu 54 Prozent. Mit PromptSpy wurde zudem die erste Android-Malware identifiziert, die generative KI nutzt, um Angriffe zu automatisieren.

Sparkassen und DKB im Visier

Aktuelle Betrugswellen zielen massiv auf Kunden deutscher Finanzinstitute. Im Kontext der Umstellung von S-ID-Check auf S-pushTAN erhalten Sparkassen-Kunden gefälschte Nachrichten zur Identitätsbestätigung per Link. Auch DKB-Kunden sind betroffen: In E-Mails heißt es, die App-Registrierung laufe Mitte Juli 2026 ab, um Nutzer zur Preisgabe von Zugangsdaten auf Phishing-Seiten zu bewegen.

Der Discounter Lidl meldete einen Datendiebstahl bei einem IT-Dienstleister. Zwischen Januar und Juni 2026 wurden Stammdaten wie Namen, E-Mails und Telefonnummern sowie Bestelldaten entwendet. Das Unternehmen warnte seine Kunden explizit vor nachfolgenden Phishing-Versuchen.

Was Unternehmen tun können

Anzeige

Microsoft-365-Umgebungen sind das Hauptziel: Der Anteil von Quishing-Kampagnen stieg von 10 auf 30 Prozent. Ein aktueller Akteur namens Pink kombiniert Vishing mit manipulierten Webseiten, um FIDO2-Registrierungen zu kapern. Schützen Sie Ihre M365-Umgebung mit einer Schritt-für-Schritt-Anleitung. M365-Quishing-Schutz jetzt sichern

Sicherheitsexperten empfehlen, die Authentifizierung per Gerätecode zu blockieren und verstärkt auf FIDO2-basierte Verfahren zu setzen. QR-Codes sollten mit der gleichen Skepsis behandelt werden wie unbekannte Hyperlinks.

Juristisch bleibt die Abgrenzung zwischen autorisierten und nicht autorisierten Zahlungen entscheidend. Bei Betrugsfällen im Online-Banking sind Finanzinstitute grundsätzlich zur Erstattung verpflichtet – sofern der Kunde nicht grob fahrlässig gehandelt hat. Die Rechtsprechung zeigt sich verbraucherfreundlich: Ein Oberlandesgericht entschied, dass Banken unter Umständen selbst bei Fahrlässigkeit teilweise haften müssen. Fachanwälte raten Betroffenen, im Schadensfall sämtliche Kommunikationsdaten und Transaktions-IDs zu sichern.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wirtschaft | 69763125 |