Schätzungen zufolge belaufen sich die weltweiten Schäden durch Betrugsmaschen auf Smartphones auf rund 442 Milliarden Euro. Besonders betroffen sind Nutzer von Kleinanzeigen-Plattformen, sozialen Netzwerken und Messenger-Diensten.
Verbraucherschützer und Sicherheitsbehörden beobachten eine Professionalisierung der Täter. Sie setzen verstärkt auf künstliche Intelligenz und neue technische Angriffswerkzeuge wie SMS-Blaster. Ziel ist der Diebstahl sensibler Nutzerdaten und finanzieller Mittel.
Banking, PayPal und WhatsApp — auf keinem Gerät speichern wir so viele sensible Daten wie auf unserem Android-Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Quishing: 150 Prozent mehr Fälle
Ein besonders stark wachsendes Phänomen ist das sogenannte Quishing – eine Wortschöpfung aus QR-Code und Phishing. Angreifer manipulieren QR-Codes, die Nutzer auf gefälschte Webseiten leiten, um Log-in-Daten oder Zahlungsinformationen abzugreifen.
Allein im ersten Quartal 2026 wurden rund 18 Millionen Fälle von Quishing registriert. Das entspricht einem Anstieg von 150 Prozent im Vergleich zum Vorjahreszeitraum. Die Methode wird oft auf Kleinanzeigen-Portalen eingesetzt, wo vermeintliche Käufer oder Verkäufer QR-Codes für angebliche Zahlungsabwicklungen übermitteln.
Parallel dazu greifen Täter zu technisch hochgerüsteten Methoden. In Zürich störte ein 28-jähriger Täter mit einem sogenannten SMS-Blaster in einem Fahrzeug das Mobilfunknetz. Durch das Vortäuschen einer offiziellen Mobilfunkantenne zapfte er innerhalb von 45 Minuten rund 50.000 Mobiltelefone in der Umgebung an. Über diese Verbindung versendete er massenhaft gefälschte SMS im Namen von Paketdienstleistern wie DPD oder der Schweizerischen Post.
Der Täter wurde zu einer Bewährungsstrafe und Abschiebung nach Italien verurteilt. Die Hintermänner der Operation werden in China vermutet.
KI-Stimmen täuschen 35 Prozent der Menschen
Auch der klassische Identitätsdiebstahl am Telefon entwickelt sich weiter. Das Bundeskriminalamt verzeichnete bereits 2024 über 6.600 Fälle von Voice-Phishing. Täter arbeiten dabei mit KI-generierten Stimmenklonen, die den Enkeltrick oder Schockanrufe erheblich glaubwürdiger machen.
Laut Erhebungen von IT-Sicherheitsunternehmen haben bereits 25 Prozent der Menschen weltweit Erfahrungen mit KI-gestützten Betrugsanrufen gemacht. Die Schwierigkeit: Etwa 35 Prozent der Befragten können eine KI-Stimme nicht mehr von einer echten menschlichen Stimme unterscheiden.
Experten raten zur Vereinbarung von Codewörtern innerhalb der Familie. Auch konsequente Rückrufe unter den bekannten, im Telefonbuch gespeicherten Nummern helfen.
Meta unter Beschuss: 535 Fake-Shops in den Niederlanden
Ein wesentlicher Treiber für den Anstieg der Betrugszahlen ist die unzureichende Kontrolle auf großen Plattformen. Die niederländische Polizei erhob Mitte Mai schwere Vorwürfe gegen den Meta-Konzern. Seit Juni 2025 wurden allein in den Niederlanden 535 Fake-Shops identifiziert – über 50 Prozent davon aktiv über Werbeanzeigen auf Facebook und Instagram beworben.
Die Ermittler kritisieren, dass Meta nicht genug unternehme, um betrügerische Werbeanzeigen vor der Schaltung zu filtern. In einem konkreten Fall verlor eine Nutzerin in Amsterdam Geld über eine gefälschte Website eines Outdoor-Händlers, die ihr über die sozialen Medien ausgespielt worden war.
Auch in Deutschland gibt es Erfolge gegen die Betreiber solcher Infrastrukturen. Die Kriminalpolizei Augsburg ermittelt gegen einen 62-jährigen deutschen Staatsbürger, der mindestens 140 Fake-Shops betrieben haben soll. Seit 2023 wurden über diese Portale mehr als 8.000 Bestellungen abgewickelt, der Schaden liegt im mittleren sechsstelligen Euro-Bereich. Der Verdächtige wurde im April 2026 von den Philippinen nach Deutschland abgeschoben und befindet sich in Untersuchungshaft.
7,3 Millionen Downloads für Schad-Apps im Play Store
Neben klassischen Fake-Shops rücken betrügerische Applikationen in den Fokus. Im offiziellen Google Play Store wurden 28 Anwendungen entdeckt, die als sogenannte „CallPhantom“-Apps bekannt sind. Trotz scheinbar nützlicher Funktionen dienten sie primär dazu, Nutzerdaten abzugreifen. Die Apps wurden insgesamt etwa 7,3 Millionen Mal heruntergeladen.
Die Schadsoftware wird häufig genutzt, um Banking-Trojaner auf den Geräten zu installieren. Die Zahl der Infektionen mit solchen Trojanern – etwa dem Typ Mirax – stieg im ersten Quartal 2026 um fast 196 Prozent auf 1,24 Millionen Fälle weltweit.
Ein veraltetes System oder die falsche App können Ihr Smartphone zur Zielscheibe für Cyberkriminelle machen. In diesem kostenlosen Report erfahren Sie, wie Sie durch gezielte Updates und das Erkennen gefährlicher Anwendungen Ihre Daten dauerhaft schützen. Kostenlosen Android-Update-Ratgeber herunterladen
Apple schließt 52 Sicherheitslücken mit iOS 26.5
Die Hersteller reagieren auf die Bedrohungslage mit weitreichenden Updates. Apple veröffentlichte am 11. Mai 2026 iOS 26.5, das insgesamt 52 Sicherheitslücken schließt – darunter kritische Schwachstellen im Systemkernel und in der WebKit-Engine. In weiteren Berichten ist sogar von über 60 geschlossenen Lücken die Rede, inklusive der Behebung des „DarkSword“-Exploit-Kits.
Neben den Sicherheits-Patches führt Apple mit diesem Update eine Ende-zu-Ende-Verschlüsselung für RCS-Chats zwischen iPhones und Android-Geräten ein. Zudem wurden Funktionen wie ein Face-ID-Schutz für Notizen und das Entfernen von Metadaten bei Fotos integriert.
Google plant für Android 17 ebenfalls signifikante Sicherheitsverbesserungen. Dazu gehören eine „Live Threat Detection“ sowie ein „Theft Detection Lock“. Besonders hervorzuheben ist die Funktion „Verified Financial Calls“, die echte Bankanrufe von Betrugsversuchen unterscheiden soll.
WhatsApp führt Passwort-Feature und Inkognito-Modus ein
Auch WhatsApp hat umfangreiche Sicherheits-Features angekündigt, die im Laufe des Jahres 2026 weltweit ausgerollt werden sollen. Dazu gehört ein optionales Passwort-Feature für die Konto-Anmeldung auf neuen Geräten. Nutzer müssen ein Passwort mit 6 bis 20 Zeichen festlegen, das mindestens eine Zahl und einen Buchstaben enthält.
Weitere geplante Neuerungen:
- Inkognito-Modus für Meta AI: Chats mit der KI werden auf Basis einer „Private Processing“-Technologie durchgeführt. Meta gibt an, keinen Zugriff auf diese Inhalte zu haben.
- Private Status-Listen: Nutzer können Listen für „Enge Freunde“ erstellen, um Status-Updates nur einem eingeschränkten Kreis zugänglich zu machen.
- „Nach dem Lesen“-Timer: Nachrichten werden 5 Minuten, eine Stunde oder 12 Stunden nach dem Öffnen automatisch gelöscht.
- Erweiterter Chat-Datenschutz: Bereits im April 2026 eingeführt, erlaubt diese Funktion die komplette Deaktivierung der Meta AI in Einzel- und Gruppenchats.
Support-Ende für Android 5 und iOS 13 im September
Die Fragmentierung des Android-Marktes bleibt ein Problem. Für den 8. September 2026 ist das endgültige Support-Ende für Android 5.0 sowie iOS 13 angekündigt. Geräte mit diesen Betriebssystemen erhalten ab diesem Zeitpunkt keine Sicherheitsupdates mehr und stellen ein erhöhtes Risiko dar.
Banken haften bei Phishing – wenn keine grobe Fahrlässigkeit vorliegt
In der rechtlichen Auseinandersetzung um Schäden durch Phishing-Attacken gibt es für Verbraucher positive Signale. Ein Urteil des Landgerichts Berlin II stärkt die Position der Bankkunden. Demnach haften Banken grundsätzlich für Schäden aus Phishing-Angriffen, sofern dem Kunden keine grobe Fahrlässigkeit nachgewiesen werden kann.
Das ist besonders relevant, seit das Aufkommen täuschend echter E-Mails oder SMS durch den Einsatz von ChatGPT um 1.200 Prozent gestiegen ist.
In Österreich zeigt der erste Phishing-Bericht der Ombudsstelle des Sozialministeriums für den Zeitraum 2023 bis 2025 ebenfalls eine hohe Dynamik. Seit 2023 gingen dort über 700 Beschwerden im Zusammenhang mit Phishing-Betrug ein. Auch hier gilt: Finanzinstitute müssen bei nicht autorisierten Zahlungen die Beträge zurückerstatten, sofern der Nutzer nicht vorsätzlich oder grob fahrlässig gehandelt hat. Die Beweislast liegt bei den Banken.
86 Prozent aller Phishing-Kampagnen nutzen KI
Trotz der verstärkten Bemühungen von Software-Entwicklern und Strafverfolgungsbehörden bleibt die Lage angespannt. Meta investiert allein 2026 rund 145 Milliarden US-Dollar in seine KI-Infrastruktur. Doch auch Cyberkriminelle nutzen die Fortschritte in der KI für immer präzisere Phishing-Kampagnen.
Experten beobachten, dass mittlerweile rund 86 Prozent aller Phishing-Kampagnen KI-Elemente nutzen. Damit überwinden Täter Sprachbarrieren und führen personalisierte Angriffe in großem Stil durch.
Für die Nutzer bedeutet das: Technische Schutzmaßnahmen allein reichen nicht. Wachsamkeit gegenüber unaufgeforderten Links, die kritische Prüfung von QR-Codes und Misstrauen gegenüber dringlichen Zahlungsaufforderungen bleiben die wichtigsten Verteidigungslinien. Da der Support für ältere Betriebssysteme im Herbst endet, wird vielen Nutzern ein Hardware-Wechsel oder ein zeitnahes System-Update nahegelegt – sonst drohen bekannte Sicherheitslücken wie die Android-Zero-Click-Lücke CVE-2026-0073.
