Quishing-Angriffe explodieren: 146 Prozent mehr QR-Code-Betrug

Allein im ersten Quartal 2026 stiegen Quishing-Angriffe um 146 Prozent. Kriminelle nutzen manipulierte QR-Codes, um Nutzer auf Phishing-Seiten zu locken oder Schadsoftware zu installieren.

Manipulierte Oberflächen im öffentlichen Raum

Die Täter verlagern ihre Aktivitäten gezielt in den Alltag. In Toronto und Mississauga entfernten Behörden zahlreiche gefälschte QR-Code-Aufkleber von Parkautomaten und Leihfahrrädern. Die Aufkleber imitieren das Design der Originalgeräte nahezu perfekt.

Die steigende Zahl an Cyberangriffen zeigt, wie wichtig ein proaktiver Schutz der persönlichen Geräte geworden ist. Ein kostenloser PDF-Ratgeber erklärt Ihnen fünf einfache Schritte, mit denen Sie Ihr Android-Smartphone in wenigen Minuten wirksam gegen Hacker absichern. 5 Schutzmaßnahmen für Android-Smartphones jetzt entdecken

Das Ziel: Nutzer zur Preisgabe von Zahlungsdaten oder Installation bösartiger Apps verleiten. Die Betrugsmasche setzt auf das Vertrauen in bekannte Dienstleister.

Doch Quishing ist nicht die einzige Gefahr. Eine kritische Schwachstelle im BootROM von Qualcomm-Chipsätzen (CVE-2026-25262) ermöglicht bei physischem Zugriff den vollständigen Systemzugriff. Betroffen sind Snapdragon-Modelle wie MDM9x07 und SDX50.

In Kombination mit „Ghost Tapping“ – manipulierten Eingabebefehlen auf dem Display – können Angreifer unautorisierte Zahlungen über Apple Pay oder Google Pay auslösen.

Auch der „Hallo Mami/Papi“-Betrug hat sich weiterentwickelt. Die Kampagnen verlagern sich zunehmend auf iMessage. Die Täter nutzen internationale Nummern aus den Philippinen oder Marokko, um finanzielle Notlagen vorzutäuschen.

Apple und Samsung reagieren mit Updates

Apple veröffentlichte Ende April iOS 26.4.2. Das Update schließt eine kritische Datenlücke bei Benachrichtigungsdiensten (CVE-2026-28950). Angreifer hätten damit sensible Nachrichten-Snippets einsehen können.

Apple betont die Notwendigkeit, auch ältere Geräte zu aktualisieren – besonders gegen aktive Exploit-Kampagnen wie „Coruna“ oder „DarkSword“.

Samsung kündigt One UI 8.5 für Anfang Mai an. Die neue Oberfläche soll verbesserte Diebstahlschutzmechanismen enthalten. Allerdings berichten Nutzer von Problemen mit den April-Sicherheitspatches: Bei Galaxy-S25- und S24-Modellen kam es zu erhöhter Wärmeentwicklung und Akku-Einbußen.

Auch die Infrastruktur gerät unter Druck. Ende April wurden mehrere OpenSSL-Schwachstellen gemeldet – von Informationsoffenlegung bis zu Denial-of-Service-Angriffen. Die OpenSSL Foundation empfiehlt die Migration auf Version 3.6.2 oder 3.5.6.

Ein weiterer kritischer Fund: Die „Copy Fail“-Schwachstelle (CVE-2026-31431) existiert seit 2017 im Linux-Kernel. Lokale Benutzer können durch speziellen Python-Code Root-Rechte erlangen. Da viele Cloud-Umgebungen und Smartphone-Subsysteme auf Linux basieren, hat dies weitreichende Konsequenzen.

KI als Werkzeug der Angreifer

Die Professionalisierung der Angriffe wird durch generative KI vorangetrieben. Der Phishing-Dienst „Bluekit“ basiert auf GPT-4.1 und Claude und wird auf dem Schwarzmarkt für rund 2.000 Dollar pro Jahr angeboten.

Damit erstellen Kriminelle täuschend echte Fake-Shops. Texte, Produktbilder und Rezensionen sind kaum noch von seriösen Anbietern zu unterscheiden. Diese „Fake-Shop 2.0“-Generation umgeht klassische Sicherheitsprüfungen.

Microsoft erkannte im ersten Quartal 2026 rund 8,3 Milliarden Phishing-Drohungen. Ein erheblicher Teil basiert auf KI. Besonders besorgniserregend: Device-Code-Phishing auf Microsoft 365 – allein im April rund 7 Millionen Angriffe.

Sogar legitime PayPal-Server werden für Support-Betrug missbraucht. Nutzer erhalten E-Mails von offiziellen Adressen, die vor angeblichen unautorisierten Belastungen warnen und zu gefälschten Hotlines führen.

Sicherheitsanbieter wie Bitdefender setzen auf KI-gestützte Schutzlösungen. Diese analysieren menschliche Interaktionsmuster und betrügerische Absichten in Echtzeit.

Strengere Regeln für mehr Sicherheit

US-Verbraucher verloren 2025 fast 21 Milliarden Dollar durch Betrug. Die FCC verschärfte daher Ende April die KYC-Regeln („Know Your Customer“) für Mobilfunkdienste.

In Deutschland beschloss das Bundeskabinett die Umsetzung des EU Cyber Resilience Act. Das BSI wird künftig als „digitaler TÜV“ fungieren. Ab September 2026 greifen umfassende Meldepflichten für Sicherheitsvorfälle.

Die Industrie sieht Cybersicherheits-Labels jedoch kritisch. Der ZVEI warnt vor pauschalen Kennzeichnungen, die den Verbraucherschutz schwächen könnten. Der Verband fordert 13 Kernpunkte für ein aussagekräftiges Zertifizierungssystem.

Da Apple verstärkt auf zeitnahe Updates setzt, sollten gerade Einsteiger die richtigen Einstellungen für ihre Datensicherheit kennen. Vertrauen Sie auf das Wissen von Experten, um Technik endlich verständlich zu meistern und Ihr iPhone ohne Fachchinesisch sicher zu aktualisieren. Gratis-Ratgeber: iOS-Updates sicher installieren

Was die nächsten Monate bringen

Die Cyberkriminalität stieg im Vergleich zum Vorjahr um 26 Prozent. 86 Prozent aller Phishing-Angriffe sind mittlerweile KI-gesteuert. Technologische Hürden allein reichen nicht mehr.

Bei Apple steht im September ein Führungswechsel an: John Ternus übernimmt den CEO-Posten. Erwartet wird eine stärkere Integration von KI-Assistenten in die Sicherheitsarchitektur von iOS 27, das voraussichtlich im Juni auf der WWDC präsentiert wird.

Gleichzeitig erreichen ältere Systeme ihr Ende. Microsoft stellt „Outlook Lite“ zum 25. Mai 2026 ein. WhatsApp beendet im September den Support für Android unter 6.0. Die Konsolidierung zwingt Nutzer zum Umstieg auf modernere Hardware – und verringert langfristig die Angriffsfläche für veraltete Exploits.

de | wissenschaft | 69270510 |