Cyberkriminelle im Mai 2026: Massive Betrugswelle gegen Apple- und Google-Nutzer

Die Betrugsversuche sind technisch so ausgereift, dass selbst erfahrene Nutzer sie kaum erkennen.

Kriminelle nutzen gefälschte iCloud-Speicherwarnungen per SMS und E-Mail, um Apple-IDs und Kreditkartendaten zu stehlen. Die Nachrichten wirken täuschend echt und drängen zur sofortigen Anmeldung. Apple selbst fragt niemals sensible Daten über SMS-Links ab – das sollte jeder Nutzer im Hinterkopf behalten.

Banking, PayPal und privater Chat – auf keinem Gerät speichern wir so viele sensible Daten wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät wirksam vor Hackern und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Google-Dienste als Einfallstor

Parallel missbrauchen Angreifer Googles AppSheet-Framework für Phishing-Formulare. Die gefälschten Seiten verfügen über valide E-Mail-Signaturen, was automatisierte Sicherheitssysteme austrickst. Besonders im Visier: Kryptowährungs-Nutzer und deren Sitzungs-Cookies.

Auch Amazon-Produktrückrufe und PayPal-Sicherheitswarnungen werden gefälscht. Die Masche ist immer gleich: Ein dringender Handlungsbedarf wird suggeriert, um Nutzer zur Preisgabe ihrer Daten zu bewegen.

SMS-Blaster und Schadsoftware-Millionen

Wie professionell die Täter vorgehen, zeigt eine Festnahme in Wien. Dort betrieb ein 32-Jähriger einen SMS-Blaster, der 100.000 betrügerische Nachrichten pro Stunde versenden konnte.

Im Google Play Store entdeckten Sicherheitsforscher 455 bösartige Apps der „Trapdoor“-Gruppe – insgesamt 24 Millionen Mal heruntergeladen. Weitere 250 „Premium Deception“-Apps zielten auf Abrechnungsbetrug ab.

NFC-Trojaner greifen Bankdaten ab

Die Schadsoftware wird immer gefährlicher. Im Mai identifizierten Experten Android-Banking-Trojaner wie DevilNFC oder NFCMultiPay. Sie nutzen die Nahfunktechnologie NFC, um Finanzdaten direkt vom Smartphone zu stehlen.

Die Infektion erfolgt über Phishing-Links in SMS oder WhatsApp. Einmal installiert, leiten die Trojaner Einmalpasswörter über Telegram-Bots an die Hintermänner weiter. Betroffen sind vor allem Nutzer in Europa und Lateinamerika.

Sicherheitslücken bei Microsoft und BitLocker

Microsoft musste mehrere Zero-Day-Lücken im Defender schließen. Besonders brisant: Eine Schwachstelle umging die BitLocker-Verschlüsselung (CVE-2026-45585).

Der aktuelle Verizon Report zeigt: Software-Schwachstellen haben mit 31 Prozent gestohlene Zugangsdaten als Hauptursache für Sicherheitsverletzungen überholt. Ransomware ist an fast der Hälfte aller Vorfälle beteiligt.

Betrug auf Kleinanzeigen und Vinted

Social Engineering bleibt ein zentrales Problem. Auf Second-Hand-Plattformen häufen sich Fälle von Direktkauf-Betrug. Täter versenden Phishing-Links zu gefälschten Bezahlseiten. Eine Vinted-Nutzerin verlor so 7.000 Euro.

Besonders perfide: der zeitverzögerte Schadenseintritt. Eine Kölnerin installierte in Kopenhagen eine falsche Park-App. Die Abbuchungen von 30 bis 50 Euro erschienen erst Wochen später auf dem Konto. Banken verweigern oft die Erstattung, da die ursprüngliche TAN-Eingabe als Autorisierung gilt.

Verbraucherschützer gehen gegen Plattformen vor

Der Verbraucherzentrale Bundesverband (vzbv) hat gemeinsam mit 24 Organisationen Beschwerde bei der EU-Kommission eingereicht. Die Vorwürfe gegen Google, Meta und TikTok: Sie gehen nicht konsequent gegen betrügerische Finanzwerbung vor.

Eine Untersuchung zwischen Dezember 2025 und März 2026 ergab: Von 900 gemeldeten Anzeigen für dubiose Geldanlagen wurden nur 27 Prozent gelöscht. Über die Hälfte der Meldungen wurde ignoriert. Die Verbände fordern eine striktere Durchsetzung des Digital Services Act (DSA) und empfindliche Geldbußen.

Das Ende der SMS-Authentifizierung

Microsoft kündigte im Mai an, die SMS-basierte Zwei-Faktor-Authentifizierung einzustellen. Die Kurznachricht gilt als Hauptquelle für Betrug, besonders durch SIM-Swapping.

Die Branche setzt stattdessen auf den FIDO2-Standard und Passkeys. Diese kryptografischen Schlüssel ersetzen Passwörter durch biometrische Merkmale oder gerätegebundene PINs. Sie sind resistent gegen Phishing, da sie an die Hardware gebunden sind.

Angesichts von Millionen gehackter Konten pro Quartal wird die herkömmliche Anmeldung per Passwort immer riskanter. Dieser kostenlose PDF-Report zeigt Ihnen, wie Sie die neue Passkey-Technologie bei Amazon, WhatsApp und Co. für maximale Sicherheit nutzen. Kostenlosen Passkey-Ratgeber herunterladen

Neue Schutzmechanismen für Smartphones

Samsung integriert eine Diebstahlerkennungssperre: Bei erkanntem Diebstahl sperrt sich das Gerät automatisch. Apple bietet mit iOS 18 einen speziellen Schutz für gestohlene Geräte, der sensible Apps zusätzlich durch Face ID absichert.

Milliardenverluste durch Social Engineering

Der Visa Threat Report beziffert die Verluste durch Social Engineering auf fast eine Milliarde US-Dollar. Klassische Betrugsarten wie die Enumeration von Kartendaten gehen zurück, während KI-gestützte Scams massiv zunehmen.

Die zahlungsbereitschaft von Unternehmen nach Ransomware-Angriffen ist auf 23 Prozent gesunken – obwohl die Anzahl der Vorfälle um 26 Prozent gestiegen ist.

Fazit für Verbraucher

Die Sicherheitslandschaft 2026 ist ein Wettrüsten zwischen krimineller Automatisierung und biometrischer Absicherung. Für Verbraucher wird der Umgang mit offiziellen Plattformfunktionen und die Abkehr von klassischen Passwörtern zur notwendigen Routine.

Experten raten: Passkeys zeitnah implementieren, Backup-Codes sicher verwahren und skeptisch bleiben gegenüber unaufgeforderten Warnmeldungen. Die konsequente Überprüfung von Links vor jeder Dateneingabe ist im digitalen Alltag unverzichtbar.

de | wissenschaft | 69392617 |