Aktuelle Warnungen von Verbraucherschützern und Sicherheitsbehörden zeigen: Angreifer kombinieren technische Raffinesse mit psychologischer Manipulation.
Ein Paradebeispiel ist die aktuelle Welle gefälschter Nachrichten im Namen des österreichischen Automobilclubs ÖAMTC. Branchenexperten beobachten einen globalen Trend: Rund 86 Prozent aller Phishing-Kampagnen werden mittlerweile durch künstliche Intelligenz gesteuert. Das macht betrügerische Inhalte für Endnutzer kaum noch erkennbar. Der weltweite wirtschaftliche Schaden durch mobile Cyberkriminalität beläuft sich 2026 auf rund 442 Milliarden Euro.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Gezielte Täuschung im Namen etablierter Dienstleister
Der ÖAMTC veröffentlichte in den letzten Tagen eine dringende Warnung vor einer vielschichtigen Betrugswelle. Die Täter erreichen Verbraucher über SMS, WhatsApp, E-Mail und direkte Anrufe. Sie geben sich als Mitarbeiter des Automobilclubs aus und nutzen zwei gegensätzliche psychologische Ansätze: Locken mit Gewinnspielen für Tankgutscheine oder Einschüchterung durch angedrohte Bußgelder.
Das primäre Ziel ist das Abgreifen sensibler persönlicher Daten und Kreditkarteninformationen. In vielen Fällen führt der Klick auf einen Link zu einer Abo-Falle – den Betroffenen werden alle zwei Wochen 42 Euro in Rechnung gestellt. Der ÖAMTC stellte klar, dass der Club keine Gewinnspiele initiiert, bei denen eine Online-Datenabfrage außerhalb der offiziellen Website erfolgt.
Diese Masche ist Teil eines größeren Musters. Ähnliche Vorfälle werden aus Italien gemeldet, wo die Postpolizei vor SMS-Phishing im Namen der Verkehrsbetriebe ATM Mailand und ATAC Rom warnt. Auch hier wird mit angeblichen Unregelmäßigkeiten bei der Fahrpreisvalidierung und drohenden Geldstrafen Druck ausgeübt. Ein weiterer Trend betrifft Hotelbuchungsportale: Betrüger nutzen Datenlecks mit echten Buchungsdetails, um Kunden über WhatsApp zu kontaktieren. Unter dem Vorwand eines Abbuchungsfehlers locken sie Opfer auf gefälschte Onlinebanking-Seiten.
KI-Phishing und Banking-Trojaner auf dem Vormarsch
Die Skalierbarkeit dieser Angriffe ermöglicht der massive Einsatz von KI-Werkzeugen. Während herkömmliche Phishing-Mails oft an sprachlichen Fehlern erkennbar waren, erzeugen KI-gesteuerte Kampagnen heute täuschend echte Texte und Dialoge.
Parallel dazu verzeichnet die IT-Sicherheitsbranche einen drastischen Anstieg mobiler Schadsoftware. Im ersten Quartal 2026 stieg die Zahl dokumentierter Fälle von Banking-Trojanern um 196 Prozent auf 1,24 Millionen. Besonders aktiv ist der Mamont-Trojaner, der für mehr als 70 Prozent der Angriffe auf Android-Geräte verantwortlich ist.
Auch die Verbreitungswege werden vielfältiger. Das sogenannte Quishing – Phishing über manipulierte QR-Codes – nahm in den letzten Monaten um 150 Prozent auf rund 18 Millionen Fälle zu. Ein Beispiel aus der Praxis: Eine Nutzerin in Kopenhagen verlor durch eine gefälschte Park-App rund 300 Euro. Die betrügerischen Abbuchungen wurden erst Wochen später auf den Kontoauszügen sichtbar. Da die Zahlungen per TAN autorisiert wurden, verweigern Banken in solchen Fällen häufig die Erstattung.
Das FBI warnt zudem vor spezialisierten Plattformen. Die im April 2026 erstmals aufgetauchte Phishing-as-a-Service-Plattform Kali365 ermöglicht Angreifern, Microsoft-365-Konten zu übernehmen – ohne Passwörter stehlen zu müssen. Dabei wird der OAuth-Prozess missbraucht, um Zugriffstoken zu generieren, sobald das Opfer einen Gerätecode auf einer offiziellen Microsoft-Seite eingibt.
Regelmäßige Updates allein reichen nicht aus, um moderne Banking-Trojaner und KI-Phishing abzuwehren. Erfahren Sie in diesem kostenlosen Ratgeber, wie Sie Ihr Android-Smartphone mit 5 einfachen Schritten gegen Hacker absichern. Kostenlosen Sicherheits-Ratgeber herunterladen
App-Ökosystem unter Beschuss
Ein weiterer Schwerpunkt der aktuellen Bedrohungslage liegt in den App-Stores. Im Rahmen der Trapdoor-Kampagne identifizierten Sicherheitsforscher 455 getarnte Anwendungen im Google Play Store. Diese Apps verzeichneten insgesamt rund 24 Millionen Downloads. Die Hintermänner nutzten die infizierten Geräte für betrügerische Werbeauktionen – mit einem Volumen von bis zu 480 Millionen Transaktionen pro Tag. Google hat die betroffenen Anwendungen entfernt und Sicherheitsupdates für Play Protect bereitgestellt.
Auf internationaler Ebene reagieren Strafverfolgungsbehörden mit koordinierten Aktionen. Die Interpol-Operation FRONTIER+ III führte zu mehr als 3.000 Festnahmen weltweit. Vermögenswerte in Höhe von über 752 Millionen US-Dollar konnten eingefroren werden.
In Deutschland trat im Mai 2026 das Digital-Identitäts-Gesetz in Kraft. Es stärkt den Rahmen für sicherere digitale Transaktionen. Das Gesetz steht im Kontext europäischer Bestrebungen: Der Digital Identity Act macht ab dem 2. Januar 2027 die Nutzung der EUDI-Wallet zur Pflicht.
Gleichzeitig stehen Hardware-Hersteller vor technologischen Herausforderungen. Sicherheitslücken wie CVE-2026-25262 im Qualcomm BootROM gelten als nicht patchbar. Auch im Linux-Kernel wurde mit CVE-2026-31635 (DirtyDecrypt) eine kritische Schwachstelle entdeckt.
Plattformbetreiber verschärfen Sicherheitsvorkehrungen
Apple aktivierte im Mai mit iOS 26.4.1 automatisch die Funktion „Stolen Device Protection“. Sie erzwingt bei kritischen Aktionen die Verwendung von Face ID oder Touch ID und führt an unbekannten Orten eine einstündige Sicherheitsverzögerung ein. Der Konzern reagiert damit auf die Zunahme von Hybrid-Cybercrime – der Kombination aus physischem Diebstahl und anschließendem gezieltem Phishing.
Apple gab an, im Mai 2026 rund 9,1 Millionen App-Einreichungen geprüft zu haben. Etwa zwei Millionen wurden abgelehnt – wegen Datenschutzverstößen oder versteckter Funktionen. Für das Jahr 2025 bezifferte das Unternehmen die verhinderten Betrugsschäden auf rund 2,2 Milliarden US-Dollar.
Ein deutlicher Trend ist die Abkehr von der SMS-basierten Zwei-Faktor-Authentifizierung hin zu biometrischen Passkeys. Weltweit sind bereits rund 5 Milliarden dieser Passkeys im Einsatz. Für die nahe Zukunft planen die Hersteller die Einführung von Post-Quanten-Kryptographie (PQ3, ML-KEM). Entsprechende Ankündigungen für iOS 27 werden für die Entwicklerkonferenz WWDC Anfang Juni 2026 erwartet.
Was betroffene Verbraucher jetzt tun sollten
Angesichts der Professionalität der Angreifer raten Experten zur erhöhten Wachsamkeit. Bei Nachrichten, die zeitlichen Druck aufbauen oder ungewöhnliche Gewinne versprechen, ist Skepsis geboten. Niemals auf Links in SMS oder Messengern klicken – stattdessen die offiziellen Webseiten der Unternehmen manuell im Browser aufrufen.
Bei bereits erfolgter Datenpreisgabe ist schnelles Handeln erforderlich. Neben der Änderung von Passwörtern und der Information der Hausbank sollte umgehend Anzeige bei der Polizei erstattet werden. In Deutschland bietet der Sperr-Notruf 116 116 eine zentrale Anlaufstelle zur Sperrung von Konten und Karten.
Rechtsexperten verweisen auf die gesetzlichen Regelungen im BGB: Nicht autorisierte Abbuchungen müssen Banken grundsätzlich erstatten, sofern dem Kunden keine grobe Fahrlässigkeit nachgewiesen werden kann. Bei einfacher Fahrlässigkeit ist die Haftung des Verbrauchers in der Regel auf maximal 50 Euro begrenzt. Aktuelle Urteile zeigen jedoch, dass die rechtliche Bewertung im Einzelfall komplex sein kann – insbesondere wenn Sicherheitsmechanismen wie die TAN-Eingabe durch den Nutzer selbst ausgelöst wurden.
