Eine raffinierte Phishing-Welle kombiniert SMS-Betrug mit gefälschten Anrufen. Die Kriminellen setzen auf psychologischen Druck und nutzen technische Tricks, um Sicherheitsfilter auszutricksen.
SMS warnt, Anruf klärt – angeblich
Der Angriff beginnt mit einer beunruhigenden Nachricht. Nutzer erhalten eine SMS oder iMessage, die vor einer „verdächtigen Aktivität“ bei Apple Pay warnt. Oft ist von einer blockierten Transaktion oder einem hohen, unautorisierten Geldbetrag die Rede.
Kurz darauf klingelt das Telefon. Die Anrufer geben sich als Mitarbeiter des Apple-Supports oder einer Bank aus. Durch Call ID Spoofing erscheint auf dem Display tatsächlich „Apple“ oder die Nummer der Hausbank. Diese Kombination aus Nachricht und sofortigem Folgeanruf soll Panik erzeugen und kritisches Denken ausschalten.
Hybrid-Phishing per SMS und gefälschten Anrufen ist aktuell äußerst tückisch: Call‑ID‑Spoofing und gezielte Drucktaktiken führen dazu, dass Betroffene 2FA‑Codes preisgeben oder Push‑Bestätigungen erlauben. Das kostenlose Anti‑Phishing‑Paket bietet eine praxisnahe 4‑Schritte‑Anleitung, wie Sie Anruf‑Spoofing, Blob‑URI‑Tricks und MFA‑Fatigue erkennen, Mitarbeiter schulen und Konten sichern. Inklusive sofort einsetzbarer Checklisten und Handlungsempfehlungen für IT‑Verantwortliche. Anti-Phishing-Paket jetzt herunterladen
Im Glauben, einen Betrug zu verhindern, geben viele Opfer dann telefonisch Zwei-Faktor-Authentifizierungscodes (2FA) preis. Oder sie bestätigen Push-Benachrichtigungen, die den Kriminellen erst den Zugriff auf das Konto ermöglichen.
KI und „Blob URIs“ machen Angriffe unsichtbarer
Hinter den Kulissen wird die Technik immer raffinierter. Ein wachsender Trend ist der Einsatz von „Blob URIs“. Dabei werden Phishing-Seiten nicht über eine klassische URL geladen, sondern lokal im Browser des Opfers aus binären Daten zusammengesetzt. Herkömmliche Sicherheitsfilter erkennen den Link zunächst nicht als gefährlich.
Zudem erhöht Künstliche Intelligenz (KI) die Erfolgsquote der Betrüger massiv. KI-Modelle verfassen fehlerfreie, kontextbezogene Nachrichten in jeder Sprache. Das eliminiert ein bisher sicheres Erkennungsmerkmal: schlechte Grammatik.
Deutsche Nutzer im Visier mehrerer Kampagnen
Während die Apple-Pay-Welle international rollt, ist die Bedrohungslage in Deutschland vielfältig. Das Phishing-Radar der Verbraucherzentrale warnte kürzlich parallel vor Angriffen auf PayPal-Nutzer und vor gefälschten Steuererstattungs-Mails im Namen des Bundeszentralamts für Steuern.
Cyberkriminelle agieren flexibel. Erreicht eine Masche wie die Apple-Pay-Kampagne eine Sättigung, weichen sie einfach auf andere beliebte Dienste aus. Die Botschaft für Nutzer ist klar: Skepsis ist bei jeder unaufgeforderten Nachricht geboten – egal, welcher Absender angegeben wird.
„Quishing“ und MFA-Fatigue: Neue Gefahren 2026
Sicherheitsexperten identifizieren weitere wachsende Risiken für dieses Jahr:
- Quishing (QR-Code-Phishing): Kriminelle überkleben legitime QR-Codes oder versenden gefälschte per Mail. Da Nutzer die Codes oft bedenkenlos scannen, umgeht diese Methode Sicherheitssoftware, die Text-Links scannt, bei Bildern aber blind ist.
- MFA-Fatigue: Angreifer fluten das Gerät eines Opfers mit Bestätigungsanfragen für die Multi-Faktor-Authentifizierung – so lange, bis dieses genervt oder versehentlich auf „Erlauben“ drückt.
So schützen Sie sich vor der Hybrid-Masche
Angesichts der professionellen Angriffe empfehlen Experten eine konsequente „Zero-Trust“-Strategie für das eigene Smartphone.
- Nie unter Druck reagieren: Echte Mitarbeiter von Apple, Banken oder Behörden fordern niemals telefonisch Passwörter oder 2FA-Codes an. Legen Sie in so einem Fall sofort auf und rufen Sie die offizielle Hotline zurück (Nummer von der Bankkarte oder Website).
- Eigenen Rückruf einleiten: Drängt eine SMS zum Anruf, nutzen Sie nie die darin angegebene Nummer. Suchen Sie die Kontaktmöglichkeit des Dienstleisters immer selbst heraus.
- Wallet regelmäßig prüfen: Kontrollieren Sie in der Wallet-App und den Apple-ID-Einstellungen, welche Geräte und Zahlungsmethoden verknüpft sind. Entfernen Sie unbekannte Einträge sofort.
- Auf Passkeys umstellen: Wo immer möglich, ersetzen Sie Passwörter durch Passkeys. Diese Technologie macht klassisches Phishing deutlich schwieriger, da es kein abgreifbares Passwort mehr gibt.
Das Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern geht weiter. 2026 könnte das Jahr werden, in dem KI-gestützte Abwehr auf KI-gestützte Angriffe trifft. Die wichtigste Firewall bleibt jedoch das eigene Bewusstsein und ein gesundes Misstrauen.
PS: Sie möchten sich und Ihr Team schnell schützen, ohne komplizierte Technik? Der kostenlose Report erklärt praxisnah, welche einfachen Rückruf‑Routinen und technischen Maßnahmen sofort wirken – von sicheren Hotline‑Prozessen bis zu technischen Filtern gegen Blob‑URI‑Angriffe. Ideal für iPhone‑Nutzer, Privatpersonen und IT‑Verantwortliche, die schnell wirksame Schritte suchen. Jetzt kostenlosen Anti-Phishing-Report sichern
