Quishing-Angriffe: QR-Code-Phishing springt um 146 Prozent

Microsoft verzeichnet 146 Prozent mehr QR-Phishing-Angriffe. KI-gestützte Methoden und staatliche Akteure treiben die Bedrohung.

Kriminelle nutzen manipulierte QR-Codes, um Sicherheitssysteme zu umgehen.

Microsoft meldet 146 Prozent mehr Angriffe

Microsoft registrierte im ersten Quartal 2026 einen drastischen Anstieg. Waren es im Januar noch 7,6 Millionen QR-Phishing-Angriffe, stieg die Zahl bis März auf 18,7 Millionen. Das entspricht einem Plus von 146 Prozent. Besonders krass: Die Anzahl der in E-Mails eingebetteten QR-Codes wuchs allein im März um 336 Prozent.

Auch der Sicherheitsdienstleister ESET bestätigt den Trend. Rund elf Prozent aller identifizierten Phishing-E-Mails enthielten demnach einen QR-Code. Die monatlichen Erkennungsraten lagen im Durchschnitt bei 100.000 Fällen, mit einem Höchststand im April. Hauptziel sind die USA – auf sie entfällt fast ein Fünftel der weltweiten Erkennungen.

KI treibt Klickraten in die Höhe

Die Angreifer werden professioneller. Interpols Operation „First Light 2026“ führte zur Festnahme von über 5.800 Verdächtigen und zur Sicherstellung von rund 293 Millionen US-Dollar. Der Grund: KI-gestütztes Phishing erzielt Klickraten von bis zu 54 Prozent. Klassische Methoden kommen nur auf etwa 12 Prozent.

Ergänzt wird das durch „Phishing-as-a-Service“ (PhaaS). Mitte Juni zerschlug das FBI die Plattform „Outsider“. Der Dienst soll seit 2023 Infrastrukturen für über 8.000 Phishing-Domains bereitgestellt haben. Der geschätzte Gesamtschaden: 1,9 Milliarden US-Dollar in 55 Ländern.

Staatliche Akteure und physische Manipulation

Anzeige

QR-Codes sind praktisch, aber auch eine wachsende Gefahr: Quishing-Angriffe stiegen um 146 Prozent. Mit der richtigen Checkliste erkennen Sie manipulierte Codes sofort und schützen Ihr Smartphone. Jetzt kostenlosen Sicherheits-Leitfaden anfordern

Das FBI warnt vor der nordkoreanischen Gruppe Kimsuky (APT43). Sie setzt auf Quishing, um die Multi-Faktor-Authentisierung (MFA) von US-Organisationen zu umgehen. Die Opfer werden auf Websites gelockt, die ein technisches Fingerprinting des Endgeräts durchführen.

Auch physische Manipulationen nehmen zu. In touristischen Regionen der USA verzeichneten Behörden einen Anstieg von manipulierten QR-Codes an öffentlichen Plätzen um 146 Prozent.

Telekom warnt vor neuer Diebstahlsmasche

Private Nutzer sind ebenfalls betroffen. Die Deutsche Telekom warnt vor einer Masche, bei der Diebe nach dem Smartphone-Diebstahl die „Wo ist?“-Funktion nutzen. Sie geben vor, das Gerät gefunden zu haben, und versenden Phishing-Nachrichten per SMS oder Messenger. Ziel ist die Übernahme der Apple-ID oder des Google-Kontos. Hunderte Fälle wurden bereits registriert.

Neue Schutzmechanismen und Regeln

Anzeige

Nach einem Smartphone-Diebstahl versuchen Kriminelle oft, Ihre Apple-ID zu übernehmen – mit gefälschten SMS. Erfahren Sie in diesem Leitfaden, wie Sie sich mit FIDO2-MFA und den richtigen Sofortmaßnahmen effektiv schützen. Sicherheits-Leitfaden jetzt sichern

Die Schadenssummen steigen – ein Deepfake-Betrugsfall in Berlin führte zuletzt zu einem Verlust von über einer Million Euro. Experten raten dringend zu Phishing-resistenten MFA-Lösungen wie FIDO2. Auf der Black Hat USA Anfang August 2026 wird zudem das Open-Source-Tool „ScamBuster“ vorgestellt. Es erstellt mittels KI realistische Opferprofile, um Täterstrukturen zu analysieren.

Auf regulatorischer Ebene greifen in der EU ab August verschärfte Regeln. Die neue Zahlungsdiensterichtlinie (PSR) sieht vor, dass Banken unter bestimmten Bedingungen verschuldensunabhängig für Betrugsschäden haften müssen. Zeitgleich treten erste Transparenzregeln des EU AI Acts in Kraft, die Kennzeichnungspflichten für KI-generierte Inhalte vorsehen.