Neue CAPTCHA-Falle treibt Handyrechnungen in die Höhe

Eine neue Betrugswelle rollt über das Internet: Kriminelle nutzen gefälschte CAPTCHA-Seiten, um unbemerkt teure SMS von fremden Smartphones zu versenden. Die als „SMS-Pumping“ bekannte Methode treibt die Mobilfunkrechnungen der Opfer massiv in die Höhe.

Banking, PayPal und WhatsApp – auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone, was sie zum Hauptziel für Betrüger macht. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Gerät mit 5 einfachen Schritten gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Sicherheitsanalysten von Malwarebytes entdeckten die Kampagne Anfang Mai 2026. Die täuschend echten CAPTCHA-Seiten locken Nutzer zur Lösung eines Sicherheitstests. Im Hintergrund nutzt die Seite die nativen Schnittstellen des Smartphones – und löst SMS an internationale Premium-Nummern aus.

Pro Interaktion können Kosten von rund 30 US-Dollar anfallen. Zu den Zielen gehören Nummern in Aserbaidschan, Myanmar und Ägypten. Ein technischer Trick namens „Back-Button-Hijacking“ verhindert zudem, dass Opfer die Seite einfach verlassen können.

Experten raten: Bei SMS-basierten Identitätsprüfungen höchste Vorsicht walten lassen. Und die Mobilfunkrechnung zeitnah auf unautorisierte Posten prüfen.

KI macht Phishing kaum noch erkennbar

Die CAPTCHA-Falle ist nur die Spitze des Eisbergs. Schätzungen zufolge werden mittlerweile rund 86 Prozent aller Phishing-Versuche durch künstliche Intelligenz gesteuert. Kriminelle erstellen damit professionell gestaltete Fake-Shops und Nachrichten, die selbst für erfahrene Anwender kaum noch von Originalen zu unterscheiden sind.

Die Schäden durch Online-Betrug in Deutschland beliefen sich 2025 auf rund zehn Milliarden Euro.

Besonders rasant wächst das sogenannte „Quishing“ – Angriffe über QR-Codes. Microsoft registrierte allein im März 2026 über 18 Millionen solcher Angriffe. Das entspricht einer Steigerung von 146 Prozent innerhalb von drei Monaten. Oft werden die Codes in PDF-Dokumenten versteckt, um Sicherheitsfilter zu umgehen.

Parallel dazu nutzen Betrüger verstärkt Messengerdienste für die bekannte „Hallo Mami/Papi“-Masche. Das Bundesamt für Cybersicherheit (BACS) warnte kürzlich vor einer neuen Welle, die fast ausschließlich über Apples iMessage abgewickelt wird. Die Anrufe kommen oft von Rufnummern mit Vorwahlen aus den Philippinen oder Marokko.

Kritische Lücken in Smartphone-Hardware

Neben den psychologischen Tricks rücken technische Schwachstellen in den Fokus. Eine kritische Lücke im Qualcomm Snapdragon BootROM (CVE-2026-25262) ermöglicht theoretisch einen Komplettzugriff auf betroffene Geräte – innerhalb weniger Minuten.

Auch Apple-Nutzer sind betroffen. Die indische Cybersicherheitsbehörde CERT-In warnte vor Schwachstellen in den Apple Notification Services. Ältere Betriebssystemversionen wie iOS vor 18.7.8 sind verwundbar und ermöglichen den Diebstahl vertraulicher Informationen.

Angesichts von Millionen gehackter Konten pro Quartal in Deutschland reicht ein herkömmliches Passwort oft nicht mehr aus, um sich gegen moderne Angriffe zu schützen. Erfahren Sie in diesem kostenlosen Report, wie Sie die neue Passkey-Technologie bei Amazon, Microsoft oder WhatsApp für maximalen Schutz einrichten. Passkeys einrichten und Konten sichern

Bei der Server-Infrastruktur gibt es ebenfalls Handlungsbedarf. Das BSI veröffentlichte Ende April 2026 Sicherheitswarnungen für OpenSSL und ClamAV. Mehrere Schwachstellen (unter anderem CVE-2026-28386 bis -28390) könnten Denial-of-Service-Angriffe oder die Offenlegung vertraulicher Daten auf Millionen von Servern weltweit ermöglichen. Administratoren sollten auf die aktuellsten Versionen wie 3.6.2 oder 3.0.20 umsteigen.

Gesetzgeber reagiert – Digitaler TÜV kommt

Die Betrugsverluste steigen rasant. In den USA kletterten sie 2025 auf rund 21 Milliarden Dollar. Der Gesetzgeber zieht Konsequenzen.

Das Bundeskabinett beschloss Ende April 2026 den Entwurf zur Umsetzung des EU Cyber Resilience Act. Das BSI fungiert künftig als eine Arbeit „digitaler TÜV“. Ab September 2026 überwacht die Behörde eine Meldepflicht für kritische Schwachstellen. Die vollen Anforderungen der neuen Verordnung müssen bis Ende 2027 umgesetzt sein.

Technologische Lösungen sollen die Erkennung von Betrugsversuchen in Echtzeit verbessern. Google führt derzeit in Italien einen KI-gestützten Schutz für die Pixel-Reihe ein. Das System analysiert verdächtige Telefonate lokal auf dem Gerät und warnt vor Datenabfragen.

Für Android 17, das voraussichtlich im Juni 2026 erscheint, ist eine integrierte Echtzeit-Erkennung von Betrugsmustern angekündigt. Sicherheitsexperten empfehlen zudem den verstärkten Einsatz von Passkeys und die Aktivierung von Zwei-Faktor-Authentifizierungen über Authentifikator-Apps statt über SMS.

Der Kampf gegen die Zeit

Die Bedrohungslage bleibt dynamisch. Cyberkriminelle greifen zunehmend auf spezialisierte Phishing-Kits wie „Bluekit“ zurück – für rund 2.000 US-Dollar pro Jahr auf dem Schwarzmarkt erhältlich. Mit einer weiteren Zunahme automatisierter Angriffe ist zu rechnen.

Verbraucher sollten bei öffentlichen Hotspots und QR-Codes in E-Mails wachsam bleiben. Etablierte Zahlungsdienste und verschlüsselte Verbindungen sind zu bevorzugen.

Unternehmen müssen ihre IT-Infrastruktur kontinuierlich patchen. Die Zeitspanne zwischen dem Bekanntwerden einer Lücke und deren Ausnutzung ist laut Branchenberichten auf nur noch 24 bis 48 Stunden geschrumpft. Mit dem Auslaufen der Sicherheitsupdates für ältere Geräteserien wie das Samsung Galaxy S21 oder Note 20 wird zudem ein rechtzeitiger Hardware-Wechsel für sicherheitskritische Anwendungen unerlässlich.

de | wissenschaft | 69270377 |