NFC-Angriffe: Android-Smartphones um 188% häufiger betroffen

Sicherheitsanalysten schlagen Alarm: Eine neue Generation hochprofessioneller Cyber-Angriffe missbraucht die legitime Infrastruktur von Tech-Riesen wie Google und Facebook. Die Methoden reichen von manipulierten Suchanzeigen über gekaperte Entwickler-Tools bis hin zu einem massiven Anstieg von Angriffen auf Smartphone-Schnittstellen.

Gefälschte Anzeigen leeren Krypto-Wallets

Im Zentrum der aktuellen Betrugswelle steht der Missbrauch von Google-Anzeigen. Kriminelle schalten gefälschte Werbung, die die dezentrale Finanzplattform Uniswap imitiert. Wer über diese Anzeigen auf die präparierten Seiten gelangt, riskiert den Totalverlust seiner Kryptowährungen.

Ob Krypto-Wallets, Banking oder private Accounts – 4,7 Millionen gehackte Konten pro Quartal in Deutschland zeigen, wie riskant herkömmliche Passwörter geworden sind. Dieser kostenlose Report zeigt, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Co. endlich unknackbar machen. Kostenlosen Passkey-Ratgeber jetzt herunterladen

On-Chain-Analysten identifizierten zwei Adressen, über die Angreifer bereits Vermögenswerte von mehr als 400.000 US-Dollar abgreifen konnten. Der Gesamtschaden durch solche Anzeigen-Fälschungen summiert sich in der ersten Jahreshälfte auf schätzungsweise 1,27 Millionen US-Dollar.

Parallel dazu läuft eine Malvertising-Kampagne auf Facebook. Sie nutzt das aktuelle KI-Interesse aus: Anzeigen für das Tool Kling AI locken Nutzer auf gefälschte Webseiten. Statt der versprochenen KI-Medien installieren die Opfer Schadsoftware, die auf Anmeldedaten und Krypto-Token spezialisiert ist.

Google-AppSheet wird zur Phishing-Waffe

Ein Bericht von Kaspersky aus dem Mai zeigt eine neue Qualität im Phishing. Angreifer nutzen Google AppSheet, eine Plattform zur App-Erstellung, für betrügerische E-Mails. Die Nachrichten werden über die offizielle Google-Infrastruktur verschickt – und umgehen damit gängige Sicherheitsmechanismen wie SPF, DKIM und DMARC.

Die Täter tarnen die Nachrichten als Personal- oder HR-Anfragen. Sie geben sich als namhafte Unternehmen wie Apple, Meta, Coca-Cola oder Volvo aus. Ihr Ziel: Empfänger auf gefälschte Karriereportale locken, um Zugangsdaten für Google- oder Facebook-Konten abzugreifen. Auch Amazon wird regelmäßig als Absender vorgetäuscht, um Kunden per WhatsApp aus offiziellen Kommunikationskanälen zu lotsen.

NFC-Angriffe explodieren um 188 Prozent

Besonders alarmierend ist die Entwicklung bei der mobilen Sicherheit. Laut Kaspersky-Experten stiegen Angriffe auf die NFC-Schnittstellen (Near Field Communication) von Android-Smartphones in den ersten vier Monaten des Jahres 2026 um 188 Prozent. Ein neu identifiziertes Phishing-Kit namens „Lighthouse“ zielt dabei primär auf Finanzinstitute ab.

In Deutschland gibt es bereits konkrete Fälle: Bankkunden der Deutschen Bank und der Commerzbach verzeichneten Schäden im fünfstelligen Bereich.

Die massiv steigenden Angriffe auf Android-Schnittstellen zeigen, dass herkömmlicher Schutz für Smartphones nicht mehr ausreicht. In diesem gratis PDF-Ratgeber erfahren Sie 5 sofort umsetzbare Schritte, um Ihr Gerät und Ihre sensiblen Daten in wenigen Minuten wirksam gegen Hacker abzusichern. Gratis-Schutzmaßnahmen für Android-Smartphones entdecken

Selbst der Hype um das für November 2026 angekündigte Videospiel GTA VI wird ausgebeutet. Mit dem Versprechen auf Early Access oder Beta-Schlüssel locken Kriminelle Fans auf bösartige Webseiten. Die Opfer laden Malware herunter oder schließen kostenpflichtige Abonnements ab.

Wer trägt das Risiko? Gerichte geben klare Antwort

Die rechtliche Lage für Betroffene bleibt schwierig. Das Landgericht Karlsruhe entschied am 20. Mai 2026: Das Verlustrisiko bei einer Überweisung auf ein manipuliertes Konto trägt grundsätzlich der Zahlende. Im konkreten Fall hatte ein Rentner über 100.000 Euro für Goldbarren auf eine falsche IBAN überwiesen. Das Gericht sah keine Pflicht für Unternehmen, eine Ende-zu-Ende-Verschlüsselung für Rechnungen bereitzustellen.

Auch das Delhi High Court betonte Ende Mai die Mithaftung von Kunden bei Fahrlässigkeit.

Tech-Konzerne reagieren – aber reicht das?

Das NCSC meldet rund 4,7 Millionen gehackte Konten pro Quartal allein in Deutschland. Die Tech-Unternehmen treiben daher Sicherheitsfeatures voran. Google führte Ende Mai für den Chrome-Browser „Device Bound Session Credentials“ (DBSC) ein. Sie sollen verhindern, dass gestohlene Session-Tokens von Angreifern auf anderen Geräten missbraucht werden können.

Sicherheitsexperten raten zudem dringend zur Nutzung von biometrischen Passkeys. Sie gelten derzeit als sicherste Form der Authentifizierung.

de | wissenschaft | 69453706 |