Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor einer neuen Welle von Cyberangriffen. Im Fokus steht „Quishing“ – eine Kombination aus QR-Code und Phishing. Kriminelle nutzen die maschinenlesbaren Quadrate, um Sicherheitsfilter zu umgehen und sensible Daten von Smartphone-Nutzern zu stehlen. Eine aktuelle Kampagne richtet sich gezielt gegen Kunden deutscher Banken.
KI generiert täuschend echte Nachrichten
Die Angriffe markieren einen Wendepunkt in der Professionalität von Betrugsversuchen. Während Phishing-Mails früher oft durch schlechtes Deutsch auffielen, generieren moderne KI-Modelle heute täuschend echte Nachrichten. Sie imitieren exakt das Design und den Tonfall bekannter Institute wie der Postbank, Advanzia Bank oder verschiedener Volksbanken.
Angesichts täuschend echter Betrugsversuche auf dem Smartphone ist ein Basis-Schutz für Android-Nutzer heute unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie WhatsApp, Banking und Ihre persönlichen Daten wirksam vor dem Zugriff durch Hacker absichern. 5 sofort umsetzbare Schutzmaßnahmen für Android entdecken
Der entscheidende Trick: Statt bösartige Links im Text zu platzieren, betten die Täter diese in QR-Codes ein. Scannen Nutzer den Code – oft unter dem Vorwand, ein TAN-Verfahren zu reaktivieren –, landen sie auf gefälschten Banking-Seiten. Auf dem kleinen Smartphone-Display fällt die manipulierte Webadresse kaum auf.
Die Gefahr geht über Bankdaten hinaus. Anfang Februar wurde bekannt, dass Angreifer manipulierte QR-Codes nutzen, um Konten des Messengers Signal zu kapern. Scannen Opfer den Code, koppeln sie ihr Gerät unbemerkt mit dem Konto der Täter.
Gefälschte Codes an Parkscheinautomaten
Die Bedrohung beschränkt sich längst nicht mehr auf E-Mails. Kriminelle weiten ihre Aktivitäten auf den öffentlichen Raum aus. In mehreren deutschen Großstädten wurden legitime QR-Codes an Parkscheinautomaten oder E-Ladesäulen mit gefälschten Aufklebern überklebt.
Das Vorgehen ist perfide: Wer seine Parkgebühr schnell bezahlen will, scannt den manipulierten Code. Er landet auf einer professionell gefälschten Zahlungsseite und gibt seine Kreditkartendaten ein. Das Geld fließt direkt zu den Betrügern. Den Opfern droht zusätzlich ein Bußgeld, weil die Parkgebühr nie beim richtigen Betreiber ankommt.
Jeder achte Phishing-Angriff nutzt QR-Codes
Aktuelle Daten belegen die rasante Ausbreitung. Auswertungen zeigen, dass inzwischen zwölf Prozent aller Phishing-Angriffe einen QR-Code enthalten. Ein Sicherheitsunternehmen meldete im Februar tägliche Erkennungsraten von Zehntausenden schädlichen Codes.
Besonders alarmierend: 68 Prozent der Quishing-Angriffe zielen auf mobile Nutzer. Führungskräfte auf C-Level-Ebene werden sogar 40-mal häufiger attackiert als normale Mitarbeiter. Für Unternehmen ist das ein großes Problem, denn Smartphones haben oft nicht die gleichen strengen Filter wie Firmen-PCs.
Da mobile Endgeräte oft schlechter geschützt sind als stationäre Firmen-Rechner, sollten Nutzer selbst aktiv werden und bekannte Sicherheitslücken schließen. Erfahren Sie in diesem gratis Sicherheitspaket, mit welchen einfachen Schritten Sie Ihr Android-Gerät auch ohne teure Zusatz-Apps schützen können. Kostenlosen Android-Sicherheits-Guide jetzt anfordern
Zero-Trust: Misstrauen wird zur Pflicht
Angesichts der massiven Zunahme rät das BSI zu einer generellen „Zero-Trust“-Haltung. Eine seriöse Bank fordert Kunden niemals per E-Mail oder SMS auf, einen QR-Code zu scannen. Experten empfehlen, das automatische Öffnen von Links nach dem Scannen in den Smartphone-Einstellungen zu deaktivieren.
Im öffentlichen Raum ist besondere Wachsamkeit geboten. Prüfen Sie vor dem Scannen, ob der Code fest aufgedruckt oder ein Aufkleber ist. Im Zweifelsfall tippen Sie die Webadresse lieber manuell ein oder nutzen alternative Zahlungsmethoden.
Neue Technologien sollen helfen
Die Cybersicherheitsbranche arbeitet an neuen Abwehrmechanismen. Eine Hoffnung ist die verhaltensbasierte Biometrie. Banking-Apps könnten künftig analysieren, wie ein Nutzer tippt oder das Smartphone hält. Weicht dieses Muster ab – etwa unter dem Stress eines Betrügeranrufs –, würde die Transaktion blockiert.
Bis solche Technologien flächendeckend verfügbar sind, bleibt die gesunde Skepsis der Verbraucher die wichtigste Verteidigungslinie gegen die Gefahr aus dem schwarzen Quadrat.
