Trickbetrug 2.0: Warum Passwörter nicht mehr reichen

Cyberkriminelle setzen längst nicht mehr auf einfachen Passwortdiebstahl, sondern auf perfide Methoden wie Session-Hijacking und Quishing (QR-Code-Phishing). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet: Jeder neunte Internetnutzer in Deutschland wurde im vergangenen Jahr Opfer von Cyberkriminalität. 88 Prozent der Betroffenen erlitten dabei konkrete finanzielle Schäden.

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die Quishing-Welle rollt

Besonders alarmierend ist die Entwicklung beim Mobilbetrug. Die Zahl der QR-Code-Phishing-Angriffe stieg im ersten Quartal 2026 um 150 Prozent – weltweit rund 18 Millionen Fälle allein in den ersten drei Monaten. 70 Prozent aller schädlichen PDF-Dateien enthalten inzwischen QR-Codes, die herkömmliche E-Mail-Filter umgehen sollen. In Deutschland kletterte die Opferrate bei mobilen Betrugsfällen von sieben auf elf Prozent.

Hintergrund: Der TrickMo.C-Trojaner nutzt die TON-Blockchain für seine Operationen und gilt als besonders gefährlich.

Die Betriebssystem-Hersteller reagieren: Android 17 soll KI-gestützte Bedrohungserkennung und verbesserten Diebstahlschutz bieten. Apple schloss mit iOS 26.5 über 60 Sicherheitslücken, darunter die kritische Schwachstelle CVE-2026-28951. Doch für Nutzer älterer Geräte wird es brenzlig: Am 8. September 2026 endet der Support für Android 5.0 und iOS 13 – wer dann noch unterwegs ist, erhält keine Sicherheitsupdates mehr.

Auch die Browser bleiben im Visier. Das indische CERT-In warnte kürzlich vor schwerwiegenden Sicherheitslücken in Google Chrome vor Version 148.0.7778.96. Die Schwachstellen in der Rendering-Engine und der Speicherverwaltung ermöglichen Angreifern den Diebstahl von Passwörtern und Bankdaten.

Session-Hijacking: Die neue Gefahr für Facebook-Nutzer

Ein Paradigmenwechsel zeichnet sich ab: Kriminelle stehlen nicht mehr Passwörter, sondern aktive Sitzungstoken. Neue Phishing-Kampagnen gegen Facebook-Nutzer zielen darauf ab, Profile zu übernehmen und Zugriff auf verknüpfte Business Manager, Instagram-Konten und Werbeguthaben zu erlangen – ganz ohne Passwort.

Die ersten 24 Stunden nach einem solchen Angriff sind entscheidend für die Wiederherstellung. Sicherheitsexperten empfehlen die Nutzung von Account-Wiederherstellungslinks und Video-Selfie-Verifikation. Doch die Realität sieht düster aus: Mehr als die Hälfte der Betroffenen gibt ihre Wiederherstellungsversuche innerhalb von zwei Tagen auf.

Smishing: Wenn der Bankchat zur Falle wird

Ein aktueller Fall zeigt die perfide Raffinesse moderner Social Engineering: Mitte Mai wurde ein prominenter TV-Moderator per SMS attackiert. Die Nachricht erschien in einem echten Chatverlauf mit seinem Kreditkartenanbieter und behauptete eine verdächtige Überweisung von 9.500 Euro. Die Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) rät: Niemals innerhalb eines Chats reagieren – immer direkt über die offizielle Website der Bank prüfen.

Mitte Mai 2026 waren zudem Kunden von Volksbank, DKB und Deutscher Bank Ziel von Phishing-Mails. Die Nachrichten behaupteten, Sicherheits-Apps seien abgelaufen oder Konten gesperrt. Unpersönliche Anreden und Links zu gefälschten Seiten sollen TANs und Login-Daten abgreifen.

Infrastruktur-Angriffe: Wenn der Feind im Netzwerk lauert

Die Bedrohung beschränkt sich nicht auf private Geräte. Ein massiver Ransomware-Angriff der Gruppe Alphv/BlackCat kompromittierte die Daten von 1,3 Millionen Kunden des US-Dienstleisters Fidelity National Financial. Laut einer Javelin-Studie werden 23 Prozent der Opfer von Datenlecks später selbst Opfer von direktem Betrug. Die Kosten für die Neuausstellung kompromittierter Zahlungskarten liegen bei rund fünf Euro pro Karte.

Der wachsende Smart-Home-Sektor bietet Angreifern eine weitere Angriffsfläche. Über 75 Prozent aller IoT-Geräte haben unzureichende Endpunktsicherheit. Hersteller setzen zunehmend auf Zero-Trust-Architektur. Der Markt für intelligente Schlösser soll bis 2034 auf 17,1 Milliarden Euro wachsen. Moderne Lösungen wie das Lockly Access Touch Pro nutzen 3D-Fingerabdrucksensoren mit lokaler KI-Verarbeitung – Erkennungszeit: 0,3 Sekunden, um externe Datenverarbeitung zu minimieren.

Die Schutzlücke: Drei von vier Haushalten unzureichend geschützt

Trotz der technischen Eskalation – der Schaden durch Cyberkriminalität in Deutschland betrug 2025 geschätzte 202 Milliarden Euro bei 335.000 gemeldeten Fällen – hinken die Schutzmaßnahmen der Privathaushalte hinterher. Eine Studie zeigt: Nur jedes dritte Familien sichert alle Geräte mit speziellen Schutzlösungen. 21 Prozent der über 55-Jährigen ergreifen gar keine Schutzmaßnahmen. Zwar nutzen 67 Prozent der Familien mit Kindern Kindersicherungen, aber nur 47 Prozent der Haushalte sprechen über das Thema.

Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle, da Sicherheitslücken oft unbemerkt bleiben. Dieser kostenlose Report zeigt Ihnen, wie Sie mit den richtigen Updates Datenverlust und Malware dauerhaft verhindern. 5 einfache Schritte für ein sicheres Android-Smartphone

Die Rechtsprechung beginnt, nachzuziehen: Das Landgericht Berlin II stellte klar, dass Banken grundsätzlich für Schäden aus Phishing-Angriffen haften – es sei denn, der Kunde handelt grob fahrlässig. Der Bundesgerichtshof (BGH) entschied zudem, dass Banken keine Gebühren für die Sperrung gestohlener Karten oder Pflicht-Kontoauszüge verlangen dürfen.

Ausblick: Neue Standards für den Selbstschutz

WhatsApp bereitet ein optionales Passwort-Feature vor: 6 bis 20 Zeichen, mindestens eine Zahl und ein Buchstabe – als Ergänzung zur bestehenden Zwei-Faktor-Authentifizierung. Besonders relevant bei der Registrierung auf einem neuen Gerät.

Die Bank of Ireland warnt vor Überzahlungs-Betrug in der Gastronomie: Kunden werden aufgefordert, Karten zum Bezahlen aufzulegen, ohne den Gesamtbetrag zu prüfen. Und die bevorstehende IT-Fusion zwischen Salzburger Sparkasse und Erste Bank Oesterreich am verlängerten Wochenende Ende Mai schafft temporäre Sicherheitslücken: 260.000 Kunden müssen mit eingeschränktem Digitalzugang und niedrigeren Offline-Limits für Debitkarten rechnen.

Die Botschaft der Experten: Digitale Sicherheit ist kein einmaliges Projekt, sondern eine tägliche Gewohnheit.

de | wissenschaft | 69348381 |