Sicherheitsbehörden und Analysten beobachten eine massive Zunahme hochtechnisierter Betrugsmaschen – von manipulierten QR-Codes bis zu spezialisierter Hardware für Massen-Phishing. Der erwartete Gesamtschaden durch Smartphone-Angriffe liegt mittlerweile bei rund 442 Milliarden Euro.
Besonders alarmierend: Ein Großteil der aktuellen Phishing-Kampagnen wird von künstlicher Intelligenz gesteuert. Das macht betrügerische Nachrichten für Verbraucher kaum noch erkennbar.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne speziellen Schutz ist das bei der aktuellen Bedrohungslage gefährlich. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, um Ihr Gerät sofort gegen Hacker und Datenmissbrauch abzusichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
SMS-Blaster in Wien: 100.000 Nachrichten pro Stunde
Ein aktueller Ermittlungserfolg in Wien zeigt die technischen Kapazitäten moderner Betrüger. Mitte Mai 2025 nahm die Polizei einen 32-jährigen Mann fest. Er soll einen sogenannten SMS-Blaster eingesetzt haben – ein Gerät, das als gefälschte Basisstation fungiert. Bis zu 100.000 Phishing-SMS pro Stunde schickte es direkt an Mobiltelefone in der Umgebung, ohne den Weg über reguläre Mobilfunknetze.
Parallel dazu missbrauchen Kriminelle legitime Cloud-Dienste wie Google AppSheet. Da diese Nachrichten über offizielle Infrastruktur laufen, haben sie gültige digitale Signaturen und umgehen herkömmliche Spam-Filter. Ziel sind häufig Nutzer von Kryptowährungen oder Kunden großer Plattformen wie Amazon und Apple. Die Täter verschicken gefälschte Warnungen über vollen iCloud-Speicher oder angebliche Produktrückrufe, um Zugangsdaten abzugreifen.
Auch das neue europäische Zahlungssystem Wero gerät ins Visier. Besonders in den Niederlanden kam es zu einer Welle von Betrugsversuchen. Kriminelle nutzen den Übergang vom alten iDEAL-System auf Wero aus und locken Kunden mit angeblichen „PSD2-Überprüfungen“ oder „Kontoaktivierungen“ in die Falle.
Quishing-Boom: 150 Prozent mehr QR-Code-Angriffe
Neben klassischen Textnachrichten setzen Kriminelle verstärkt auf visuelle und drahtlose Angriffe. Das sogenannte Quishing – Phishing via QR-Code – verzeichnete im ersten Quartal 2026 einen Anstieg um 150 Prozent auf weltweit 18 Millionen Fälle. Die manipulierten Codes kleben auf Parkautomaten, Ladesäulen oder gefälschten Strafzetteln. Wer scannt, landet auf einer präparierten Webseite, die Zahlungsdaten abfragt oder Schadsoftware installiert.
Besonders perfide: Manche E-Mails stellen QR-Codes als ASCII-Art dar. Das umgeht automatische Bilderkennungsprogramme von Sicherheitssystemen.
Noch einen Schritt weiter geht neue Android-Malware wie „DevilNFC“ oder „NFCMultiPay“. Diese Banking-Trojaner nutzen die Nahfeldkommunikation (NFC) des Smartphones, um Finanzdaten abzugreifen oder manipulierte Transaktionen durchzuführen. Einmal installiert, leiten sie Einmalpasswörter über Telegram-Bots an die Hintermänner weiter.
Die Zahlen sind erschreckend: Android-Banking-Trojaner-Angriffe stiegen um 56 Prozent, die Zahl neuer Malware-Varianten sogar um über 270 Prozent auf mehr als 255.000.
KI macht Social Engineering gefährlicher
Die psychologische Komponente des Betrugs wird durch generative KI immer effektiver. Schätzungen zufolge sind bereits 86 Prozent aller Phishing-Kampagnen KI-gesteuert. Die Täter erstellen fehlerfreie, personalisierte Nachrichten in verschiedenen Sprachen.
In Hagen wurde ein Senior Opfer einer modernen Version des Enkeltricks. Die Täter nutzten Fotos und Informationen aus sozialen Netzwerken, um die Identität eines echten Bekannten vorzutäuschen. Der Schaden: ein hoher vierstelliger Betrag.
Da herkömmliche Passwörter bei KI-gesteuerten Angriffen oft nicht mehr ausreichen, setzen Experten zunehmend auf moderne Alternativen. Erfahren Sie in diesem Gratis-Report, wie Sie sich mit Passkeys bei Diensten wie Amazon oder WhatsApp ohne klassisches Passwort sicher anmelden. Kostenlosen Passkey-Ratgeber jetzt herunterladen
Auch klassische Plattformen bleiben gefährdet. Verbraucherschützer warnen vor gefälschten E-Mails zum Deutschlandticket mit angeblichen „letzten Zahlungsforderungen“. Ähnliche Muster zeigen sich bei PayPal-Betrugsversuchen mit fingierten Rückerstattungen. Ein Visa-Report beziffert die weltweiten Verluste durch Social Engineering auf fast eine Milliarde US-Dollar.
Microsoft schafft SMS-Authentifizierung ab
Die IT-Sicherheitsbranche reagiert mit einem Umdenken. Microsoft kündigte an, die SMS-basierte Authentifizierung schrittweise abzuschaffen und auf Passkeys zu setzen. Diese sind an die Hardware des Nutzers gebunden und gelten als deutlich sicherer gegen Phishing.
Dennoch bleiben Schwachstellen ein zentrales Problem. Ein aktueller Branchenbericht zeigt: Sicherheitslücken in Software haben gestohlene Zugangsdaten als Hauptursache für Sicherheitsverletzungen überholt. Microsoft schloss kürzlich mehrere kritische Zero-Day-Lücken in Windows Defender und eine BitLocker-Schwachstelle namens „YellowKey“. Die durchschnittliche Zeit, die Unternehmen zum Schließen solcher Lücken brauchen, ist auf 43 Tage gestiegen.
Apple veröffentlichte mit iOS 26.5 am 20. Mai 2026 ein Sicherheitsupdate, das über 50 bekannte Schwachstellen behebt. Trotz aller Bemühungen warnen Experten: Selbst neu gekaufte Geräte können bereits im Werk mit Backdoor-Malware infiziert sein.
Was Nutzer jetzt beachten sollten
Die Professionalisierung der Cyberkriminalität erfordert erhöhte Wachsamkeit. Da Kriminelle offizielle Kommunikationswege und KI-generierte Inhalte nutzen, reicht die visuelle Prüfung allein nicht mehr aus.
Sicherheitsbehörden raten: Geben Sie sensible Daten niemals über Links in SMS oder QR-Codes ein. Nutzen Sie stattdessen die offiziellen Apps oder direkt eingegebene Webadressen Ihrer Bank.
In den kommenden Monaten wird die Integration von KI in Abwehrsysteme von Finanzinstituten zunehmen. Google gründete bereits einen „Global Signal Exchange“, um Betrugssignale schneller zwischen Plattformen auszutauschen.
Doch eines bleibt: Der Faktor Mensch ist das primäre Ziel der Angreifer. Kontinuierliche Aufklärung über neue Maschen – vom NFC-Missbrauch bis zu manipulierten QR-Codes an öffentlichen Plätzen – bleibt der wichtigste Schutz.
