Sicherheitsforscher und Behörden schlagen Alarm.
Die Daten von Microsoft zeigen eine dramatische Entwicklung: Wurden im Januar 2026 noch 7,6 Millionen solcher Attacken registriert, waren es im März bereits 18,7 Millionen. Der Grund: Kriminelle nutzen QR-Codes, um klassische E-Mail-Sicherheitslösungen und die Zwei-Faktor-Authentifizierung (MFA) zu umgehen.
Warum gerade QR-Codes?
Der Haken an der Sache: Die schädliche URL steckt im Bild selbst. Herkömmliche E-Mail-Scanner erkennen sie nicht. Das macht „Quishing“ – eine Wortkreuzung aus QR-Code und Phishing – zu einem perfiden Werkzeug.
Laut Analysen des Sicherheitsunternehmens Hoxhunt sind QR-Code-Phishing-Attacken im Jahresvergleich um 25 Prozent gestiegen. Microsoft Defender zufolge machen QR-Kampagnen inzwischen 30 Prozent aller Phishing-Aktivitäten aus – vorher waren es nur zehn Prozent.
Besonders rasant wächst die Gefahr in E-Mail-Inhalten: Allein im März 2026 schnellte die Zahl bösartiger QR-Codes, die direkt in Nachrichtentexten eingebettet sind, um 336 Prozent nach oben. PDF-Anhänge bleiben jedoch der Hauptvektor – rund 70 Prozent aller entdeckten Schad-Codes verstecken sich dort.
Weltmeisterschaft als Köder
Die bevorstehende FIFA-Weltmeisterschaft 2026 ist ein gefundenes Fressen für die Täter. Sicherheitsberichte verzeichnen einen 22-fachen Anstieg bei entsprechenden Phishing-Versuchen. Etwa jede 185. E-Mail nutzt WM-Branding als Lockmittel.
Doch die Gefahr lauert nicht nur digital. In Großbritannien warnen Juristen vor einer Betrugsmasche während der WM: Kriminelle kleben gefälschte QR-Sticker über echte Codes auf Tischen und Speisekarten, um Bankdaten abzugreifen. Ähnliche Versuche in stark frequentierten Touristenregionen der USA haben um 146 Prozent zugenommen.
QR-Codes umgehen E-Mail-Scanner und MFA – und die Zahl der Angriffe steigt rasant um 146%. Bevor Ihre Firma das nächste Opfer wird: Der kostenlose Report liefert einen 3-Schritte-Plan, eine Risiko-Checkliste und einen Schulungsleitfaden für Ihre Mitarbeiter. Jetzt Quishing-Schutz-Report anfordern
Neue Techniken, neue Gefahren
Moderne Quishing-Angriffe setzen auf sogenannte Adversary-in-the-Middle (AitM)-Taktiken. Dabei fangen die Angreifer Anmeldedaten und Sitzungstoken in Echtzeit ab – besonders effektiv, weil die Opfer oft mobile Geräte nutzen, die weniger gut geschützt sind als Firmenrechner.
Das FBI hat die nordkoreanische Hackergruppe Kimsuky (APT43) als Hauptakteur dieser Methode identifiziert. Die Gruppe leitet Opfer auf manipulierte Seiten um, scannt deren Geräte und umgeht so die Zwei-Faktor-Authentifizierung.
Parallel dazu gewinnen verwandte Techniken wie Device-Code-Phishing an Bedeutung. Eine einjährige Kampagne, die Anfang Juli 2026 endete, kompromittierte 218 Opfer in den USA, Großbritannien und Australien – durch Missbrauch von Microsofts OAuth-Gerätecode-Fluss.
Phishing als Dienstleistung
Neue Plattformen wie Forg365 bieten Angreifern inzwischen „Phishing-as-a-Service“ (PhaaS) an. Gegen eine monatliche Gebühr erhalten Kriminelle automatisierte Werkzeuge zum Diebstahl von Sitzungen.
Die Integration von Künstlicher Intelligenz in Schadsoftware verschärft die Lage zusätzlich. Der ESET-Halbjahresbericht 2026 fand über 25.000 verdächtige KI-Module in Repositories – ein Hinweis darauf, dass Angreifer KI nutzen, um ihre Methoden zu verfeinern.
Mitarbeiter öffnen QR-Codes oft arglos – genau das nutzen Angreifer aus. Mit dem richtigen Schulungsleitfaden und einer konkreten Risiko-Checkliste machen Sie Ihr Team fit gegen Quishing. Der Report zeigt, wie Sie die Abwehr in nur drei Schritten aufbauen. Schulungsleitfaden und Checkliste jetzt sichern
Was Unternehmen tun können
Google warnt, dass AitM- und Quishing-Vektoren herkömmliche Phishing-Links zunehmend ersetzen. Sicherheitsexperten empfehlen mehrschichtige Abwehrstrategien und vor allem: Mitarbeiter schulen. Unerwartete QR-Codes sollten genauso misstrauisch behandelt werden wie unaufgeforderte Anhänge oder Links.

