Mobilfunk-Betrug wird zur Industrie: 80 Milliarden Dollar Schaden pro Jahr

Project Lighthouse: 13 Millionen erzwungene Verbindungen

Die kanadische Polizei hat mit „Project Lighthouse“ einen schweren Schlag gegen organisierte Mobilfunk-Kriminalität gelandet. In Toronto nahmen Ermittler drei Männer fest, die sogenannte SMS-Blaster betrieben haben sollen. Diese illegalen Sendeanlagen imitieren legitime Mobilfunkmasten – und zwingen Handys in der Umgebung zur Verbindung mit dem gefälschten Turm.

Banking, E-Mails, Fotos – auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone, während Hacker ihre Methoden ständig verfeinern. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Gerät mit 5 einfachen Schritten effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die Dimension ist gewaltig: Rund 13 Millionen Netzwerk-Einfangungen registrierten die Ermittler. Über diese Infrastruktur verschickten die Verdächtigen massenhaft Phishing-Kurznachrichten – direkt auf die Endgeräte, ohne Umweg über offizielle Provider-Netze. Ziel: Zugangsdaten für Mobilfunkkonten und Bankverbindungen abgreifen, um hochwertige Smartphones zu erschleichen oder Finanztransaktionen zu autorisieren.

Auch Polizei-Hardware verwundbar

Parallel dazu zeigen Sicherheitslücken bei Axon-Tasern und Bodycams in Australien: Selbst behördliche Infrastruktur ist angreifbar. Eine Bluetooth-Schwachstelle soll es ermöglichen, Beamten-Standorte per einfacher App zu orten. Ein Hacker warnte bereits 2024 – ohne ausreichende Reaktion. Die Regierung von Victoria betont zwar, dass kein unbefugter Zugriff festgestellt wurde. Der Fall unterstreicht aber die Verwundbarkeit mobiler Systeme.

86 Prozent aller Phishing-Angriffe nutzen KI

Der wichtigste Treiber für den Anstieg des mobilen Betrugs ist die softwareseitige Automatisierung. Laut einem Marktbericht von KnowBe4 werden mittlerweile rund 86 Prozent aller Phishing-Angriffe durch künstliche Intelligenz gesteuert oder unterstützt. In den letzten sechs Monaten stieg die Zahl der Angriffsversuche um mehr als 17 Prozent.

Besonders besorgniserregend: die Zunahme beim Kalender-Phishing und bei Angriffen über Kollaborationsplattformen wie Microsoft Teams.

Bluekit: Phishing-as-a-Service für jedermann

Die neu entdeckte Plattform Bluekit zeigt, wie niedrig die Einstiegshürden inzwischen sind. Das Phishing-as-a-Service-Angebot (PhaaS) bietet Kriminellen Zugriff auf KI-Assistenten wie GPT-4.1, Claude und Gemini. Über 40 Vorlagen für Dienste wie Apple ID, Gmail und Kryptowährungs-Plattformen sind enthalten.

Weitere Funktionen: Geolocation-Spoofing, Anti-Bot-Mechanismen und Integration in verschlüsselte Messenger wie Telegram zur Datenexfiltration.

FEMITBOT: Telegram als Einfallstor

Eine Kampagne namens FEMITBOT missbraucht die Mini-App-Funktion von Telegram. Die Täter imitieren bekannte Weltmarken aus Technologie, Unterhaltung und Konsumgütern. Ihr Ziel: Nutzer zur Installation von Schadsoftware oder zu fingierten Krypto-Investitionen zu bewegen.

Die Android-Pakete tarnen sich als harmlose Anwendungen. Einmal installiert, gewähren sie oft vollen Zugriff auf das Gerät – der Weg für Identitätsmissbrauch ist geebnet.

80 Milliarden Dollar Verlust pro Jahr

Die wirtschaftlichen Konsequenzen sind immens. Experten von Constella und WMC Global beziffern die globalen Verluste durch mobilen Betrug auf jährlich rund 80 Milliarden US-Dollar. Die Phishing-Lieferkette hat sich zu einer industrialisierten Pipeline entwickelt – von der Datenbeschaffung bis zur Monetarisierung.

Ein besonderes Problem: die Wiederverwendung von Passwörtern. Analysen zeigen, dass 20 bis 60 Prozent der Nutzer dieselben Zugangsdaten für private und geschäftliche Konten verwenden.

New York: Über 700 Millionen Dollar Schaden

Regionale Daten untermauern den Trend. Im US-Bundesstaat New York meldet die AARP für 2025 Verluste durch Betrug von über 700 Millionen US-Dollar. Allein 408 Millionen Dollar entfielen auf die Altersgruppe der über 60-Jährigen – eine Steigerung von 151 Millionen Dollar gegenüber dem Vorjahr.

Häufigste Methode: Imposter-Scams. Täter geben sich als Behördenvertreter oder Verwandte aus, um Geld oder Zugang zu Mobilfunkkonten zu erhalten.

SMS-basierte 2FA verliert an Wirksamkeit

Die aktuelle Bedrohungslage zeigt: Herkömmliche Sicherheitsmechanismen wie die SMS-basierte Zwei-Faktor-Authentifizierung werden zunehmend wirkungslos. Techniken wie SMS-Blaster oder Reverse-Proxies umgehen Multi-Faktor-Authentifizierungen oft mühelos.

Sicherheitsforscher fordern den Umstieg auf modernere Verfahren wie Passkeys und hardwarebasierte Sicherheitsschlüssel.

Angesichts von Millionen gehackter Konten pro Quartal wird die herkömmliche Anmeldung per Passwort immer riskanter. Erfahren Sie in diesem kostenlosen Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Co. endlich unknackbar machen. Kostenlosen Passkey-Ratgeber herunterladen

Morpheus: Spionage per Android-Spyware

Die unter dem Namen Morpheus bekannte Android-Spyware, mutmaßlich von einer italienischen Firma für staatliche Zwecke entwickelt, nutzt Social-Engineering-Taktiken. Die Software täuscht Probleme mit der Datenverbindung vor und drängt Nutzer zur Installation eines vermeintlichen System-Updates.

Mobile Endgeräte sind nicht nur Ziel für finanziellen Betrug – sondern auch für hochgradig zielgerichtete Überwachung durch staatliche oder semi-staatliche Akteure.

Apple und Google rüsten auf

Apple veröffentlichte das Update iOS 26.4.2, um eine kritische Lücke im Benachrichtigungssystem zu schließen. Die als „Text Bomb“ bekannte Schwachstelle konnte Geräte durch manipulierte Zeichenketten zum Absturz bringen. Samsung rollte für seine Mittelklasse-Modelle wie das Galaxy M16 den Sicherheitspatch für April 2026 aus – er behebt insgesamt 47 Sicherheitslücken.

Für Mitte Mai plant Apple die Veröffentlichung von iOS 26.5. Es soll eine Ende-zu-Ende-Verschlüsselung für RCS-Nachrichten in der Beta-Phase einführen. Im Sommer wird zudem iOS 27 auf der WWDC erwartet – mit Fokus auf neuen KI-basierten Sicherheitsfunktionen.

Google arbeitet am Pixel 11 mit einem neuen Tensor G6-Chip, gefertigt im 2-Nanometer-Verfahren bei TSMC. Eine infrarotbasierte Gesichtserkennung – intern als Project Toscana bekannt – wird voraussichtlich noch nicht im kommenden Modell debütieren.

Bis dahin raten Experten: Alternative Authentifizierungsmethoden nutzen, biometrische Sperren für sensible Aktionen konsequent aktivieren. Der Schutz gegen fortschreitenden Identitätsmissbrauch im mobilen Raum bleibt eine Daueraufgabe.

de | wissenschaft | 69278452 |