Die Täter setzen auf eine gefährliche Mischung aus Spezialhardware, KI-gestützter Täuschung und gezielten Angriffen auf Mobilgeräte. Besonders betroffen: Reisende an Flughäfen und Bahnhöfen sowie Geschäftsleute im internationalen Umfeld. Die technischen Hürden für Cyberkriminelle sinken – die Gefahr für Verbraucher steigt.
Banking, E-Mails, PayPal — auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf unserem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Gerät mit 5 einfachen Schritten effektiv vor Hackern und Datenmissbrauch schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
SMS-Blast aus Wien: 100.000 Nachrichten pro Stunde
Eine spektakuläre Festnahme in der österreichischen Hauptstadt zeigt, wie professionell die Täter heute vorgehen. Am 14. Mai 2026 nahm die Polizei einen 32-jährigen chinesischen Staatsbürger fest. Er soll seit Anfang April ein sogenanntes „SMS-Blaster“-Gerät betrieben haben – eine Spezialhardware, die bis zu 100.000 betrügerische Textnachrichten pro Stunde an Mobiltelefone in der Umgebung senden kann.
Die Beamten beschlagnahmten mehrere dieser Geräte sowie Computer und Mobiltelefone. Die Methode ist tückisch: Statt über das Mobilfunknetz zu gehen, senden die Blaster direkt per Funk an die Handys in einem bestimmten geografischen Radius. So umgehen sie die Spamfilter der Netzbetreiber – ein perfider Trick, um Reisende an Verkehrsknotenpunkten mit gefälschten Service-Warnungen zu ködern.
„DevilNFC“: Wenn das eigene Handy zum Diebeswerkzeug wird
Noch einen Schritt weiter geht die neue Malware „DevilNFC“, die seit dem 20. Mai 2026 Android-Nutzer in Europa und Lateinamerika bedroht. Der Name ist Programm: Die Schadsoftware kombiniert NFC-Relay-Technologie mit einem sogenannten „Kiosk-Modus“, der das Opfer während einer betrügerischen Transaktion praktisch gefangen hält.
Die Infektion beginnt harmlos: Eine Phishing-Nachricht per SMS oder WhatsApp lockt auf eine gefälschte Google-Play-Seite. Ist die App installiert, liest sie die Kreditkarten-PIN im Klartext aus und sendet sie an die Täter. Das besonders Heimtückische: Das Opfer-Gerät fungiert als NFC-Lesegerät, während das Handy des Angreifers die Karte simuliert. So werden in Echtzeit unbefugte Zahlungen oder Geldabhebungen möglich.
Phishing-Kits für jedermann: Die Industrialisierung des Betrugs
Doch nicht nur die Hardware wird raffinierter – auch die Software. Das Sicherheitsunternehmen Proofpoint und das australische Cyber-Sicherheitszentrum warnen seit dem 20. Mai vor einer Zunahme von „Device-Code-Phishing“ gegen Microsoft-365-Nutzer. Kriminelle Toolkits und „Phishing-as-a-Service“-Plattformen wie EvilTokens und Tycoon machen es möglich: Selbst technisch wenig versierte Täter können professionelle Angriffe starten.
Die Plattform EvilTokens ist seit Februar 2026 auf Telegram aktiv. Die Tätergruppe TA4903 hat sich seit März fast vollständig auf diese Methode verlagert. Die Kampagnen sind mehrsprachig und global – ein Albtraum für multinationale Konzerne und ihre Sicherheitsabteilungen.
Ein veraltetes Betriebssystem ist wie eine offene Haustür für Cyberkriminelle, die es auf Ihre persönlichen Daten abgesehen haben. Erfahren Sie in diesem kostenlosen Report, wie Sie durch die richtigen Updates Sicherheitslücken schließen und Malware dauerhaft verhindern. Kostenlosen Android-Update-Ratgeber herunterladen
BEC-Betrug: 19 Millionen Dollar Schaden in Singapur
Besonders lukrativ ist der klassische Geschäfts-E-Mail-Betrug (BEC). In Singapur hat die Polizei seit Januar 2026 mindestens 66 Fälle registriert – mit einem Gesamtschaden von über 19 Millionen Euro. Die Masche: Täter geben sich als Lieferanten oder Kollegen aus und fordern, Zahlungen auf neue Konten umzuleiten.
In Frankreich warnten die Behörden Ende Mai vor gefälschten E-Mails der Krankenkasse Assurance Maladie. Die Opfer werden unter Druck gesetzt: Sie sollen ihre persönlichen Daten bis zum 22. Mai preisgeben – sonst drohe der Verlust des Versicherungsschutzes. Urgency-basierte Sozialtechnik bleibt eine der wirksamsten Waffen der Betrüger.
Chromium-Lücke: 42 Monate ungepatcht
Neben sozialer Manipulation bleiben auch reine Software-Schwachstellen eine Einfallstür. Am 20. Mai wurden Details zu einem kritischen Fehler in der Chromium-Browser-Fetch-API bekannt. Die Lücke betrifft Millionen Nutzer von Chrome, Edge und anderen Chromium-basierten Browsern. Sie ermöglicht den Aufbau von Botnetzen ohne Nutzerinteraktion – und blieb trotz Einstufung als hohes Risiko 42 Monate lang ungepatcht.
Google hat die verwandten Exploits inzwischen behoben. Der Vorfall zeigt jedoch, wie lange selbst kritische Sicherheitslücken bestehen bleiben können.
KI als Brandbeschleuniger: 47 Prozent mehr Angriffe
Die Finanzbranche erlebt derzeit eine regelrechte Explosion KI-gestützter Angriffe. Laut einem aktuellen Bericht von Visa stieg die Zahl der KI-gesteuerten Cyberattacken im Jahr 2025 um 47 Prozent. Der Finanzsektor war für ein Drittel aller gemeldeten Vorfälle verantwortlich.
Die Täter nutzen sogenannte „Adversarial AI“, um Betrugserkennungsmodelle auszutricksen und extrem überzeugende Phishing-Inhalte zu generieren. 41 Prozent der heutigen Ransomware-Familien enthalten KI-komponenten. Die Banken kontern mit KI-basierten Risikobewertungssystemen für Echtzeit-Transaktionen – ein Wettrüsten, das vor allem Reisende betrifft, deren ungewöhnliche Ausgabenmuster im Ausland Angreifern als Tarnung dienen.
Microsoft patcht zwei Zero-Day-Lücken
Am 20. Mai schloss Microsoft zwei aktiv ausgenutzte Zero-Day-Sicherheitslücken in seiner Defender-Plattform. Die Schwachstellen CVE-2026-41091 und CVE-2026-45498 ermöglichten Angreifern, ihre Rechte auszuweiten und Denial-of-Service-Angriffe durchzuführen. Die US-Behörde CISA hat Bundesbehörden angewiesen, die Patches bis zum 3. Juni zu installieren – ein Signal an die Privatwirtschaft, ebenfalls zu handeln.
Was jetzt zu tun ist
Experten raten Unternehmen, über einfache Passwortlösungen hinauszugehen. Multi-Faktor-Authentifizierung, Conditional-Access-Richtlinien und Domain-Authentifizierungsprotokolle wie DMARC werden zur Pflicht. Für Privatpersonen, insbesondere auf Reisen, gilt: Sensible Anfragen immer über einen zweiten Kommunikationsweg verifizieren. Unglaubliche SMS und unerwartete App-Installationsaufforderungen mit gesunder Skepsis begegnen.
Noch immer sind weltweit 1,5 Millionen Geräte mit verwundbaren SMB-Ports im Netz erreichbar. Die grundlegende Hygiene – veraltete Dienste abschalten, Remote-Zugriffe sichern – bleibt die erste Verteidigungslinie.
