QR-Code-Phishing, Quishing-Anstieg

QR-Code-Phishing: Quishing-Anstieg um 25% laut Report 2026

Veröffentlicht: 14.07.2026 um 04:06 Uhr, Redaktion boerse-global.de

QR-Code-Phishing-Attacken steigen um 25 Prozent. KI-gestĂŒtzte Methoden umgehen selbst Multi-Faktor-Authentifizierung und gefĂ€hrden Unternehmen.

Quishing-Angriffe: QR-Code-Phishing wird zur Massengefahr 2026
Ein grĂŒn leuchtender QR-Code auf einem Bildschirm in einem dunklen Serverraum, umgeben von verschwommenen digitalen Datenströmen, die eine Cyberbedrohung symbolisieren. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Sicherheitsdienstleister melden einen drastischen Anstieg von sogenannten Quishing-Angriffen – mit KI-UnterstĂŒtzung und neuen Methoden, die selbst Multi-Faktor-Authentifizierung aushebeln.

Der Hoxhunt-Report 2026 verzeichnet einen Zuwachs von 25 Prozent im Vergleich zum Vorjahr. Auch Microsoft Defender schlÀgt Alarm: Der Anteil von Quishing-Kampagnen an allen Phishing-AktivitÀten stieg von 10 auf 30 Prozent.

Die Medienbruch-LĂŒcke

Das Gefahrenpotenzial von QR-Codes liegt in der Medienbruch-Taktik. Nutzer scannen die Codes hĂ€ufig mit ihren privaten oder geschĂ€ftlichen MobilgerĂ€ten – und verlassen damit die kontrollierte Netzwerksicherheit ihrer Workstations. So umgehen Angreifer etablierte SchutzwĂ€lle und die Multi-Faktor-Authentifizierung effizient.

Inzwischen machen QR-Codes rund 11 Prozent des gesamten Phishing-E-Mail-Volumens aus.

M365 im Visier

Besonders Microsoft-365-Umgebungen sind betroffen. Ein seit April 2026 aktiver Akteur namens Pink kombiniert Vishing (Voice Phishing) mit manipulierten Webseiten, um die Passkey-Registrierung von Nutzern zu kapern. Die Opfer landen auf gefĂ€lschten Entra-Seiten, auf denen Angreifer eigene FIDO2-SchlĂŒssel im Konto hinterlegen.

Die Datenexfiltration erfolgt oft innerhalb von 72 Stunden nach der Kompromittierung. Betroffen sind vor allem Technologie, Gesundheitswesen sowie die Automobil- und Luftfahrtindustrie.

Phishing als Dienstleistung

Anzeige

Der Hoxhunt-Report 2026 verzeichnet einen Anstieg von 25 Prozent bei QR-Code-Phishing – und KI-optimierte Kampagnen erreichen Klickraten von bis zu 54 Prozent. Bevor Ihre Konkurrenz die Medienbruch-LĂŒcke ausnutzt, sollten Sie jetzt handeln. Jetzt kostenlosen Quishing-Schutz-Report anfordern

Die EinstiegshĂŒrden fĂŒr Cyberkriminelle sinken rasant. Ein neuer Dienst namens Forg365 kombiniert GerĂ€tecode-Phishing mit Adversary-in-the-Middle-Angriffen (AitM) und nutzt KI-generierte Köder. FĂŒr monatliche GebĂŒhren erhalten KĂ€ufer Zugriff auf Dashboards und Browsererweiterungen fĂŒr dauerhaften Zugriff auf kompromittierte Sitzungen.

KI-gestĂŒtztes Phishing ist deutlich effektiver. WĂ€hrend klassische Phishing-Mails eine Klickrate von etwa 12 Prozent erzielen, erreichen KI-optimierte Kampagnen Quoten von bis zu 54 Prozent. Mit PromptSpy wurde zudem die erste Android-Malware identifiziert, die generative KI nutzt, um Angriffe zu automatisieren.

Sparkassen und DKB im Visier

Aktuelle Betrugswellen zielen massiv auf Kunden deutscher Finanzinstitute. Im Kontext der Umstellung von S-ID-Check auf S-pushTAN erhalten Sparkassen-Kunden gefĂ€lschte Nachrichten zur IdentitĂ€tsbestĂ€tigung per Link. Auch DKB-Kunden sind betroffen: In E-Mails heißt es, die App-Registrierung laufe Mitte Juli 2026 ab, um Nutzer zur Preisgabe von Zugangsdaten auf Phishing-Seiten zu bewegen.

Der Discounter Lidl meldete einen Datendiebstahl bei einem IT-Dienstleister. Zwischen Januar und Juni 2026 wurden Stammdaten wie Namen, E-Mails und Telefonnummern sowie Bestelldaten entwendet. Das Unternehmen warnte seine Kunden explizit vor nachfolgenden Phishing-Versuchen.

Was Unternehmen tun können

Anzeige

Microsoft-365-Umgebungen sind das Hauptziel: Der Anteil von Quishing-Kampagnen stieg von 10 auf 30 Prozent. Ein aktueller Akteur namens Pink kombiniert Vishing mit manipulierten Webseiten, um FIDO2-Registrierungen zu kapern. SchĂŒtzen Sie Ihre M365-Umgebung mit einer Schritt-fĂŒr-Schritt-Anleitung. M365-Quishing-Schutz jetzt sichern

Sicherheitsexperten empfehlen, die Authentifizierung per GerÀtecode zu blockieren und verstÀrkt auf FIDO2-basierte Verfahren zu setzen. QR-Codes sollten mit der gleichen Skepsis behandelt werden wie unbekannte Hyperlinks.

Juristisch bleibt die Abgrenzung zwischen autorisierten und nicht autorisierten Zahlungen entscheidend. Bei BetrugsfĂ€llen im Online-Banking sind Finanzinstitute grundsĂ€tzlich zur Erstattung verpflichtet – sofern der Kunde nicht grob fahrlĂ€ssig gehandelt hat. Die Rechtsprechung zeigt sich verbraucherfreundlich: Ein Oberlandesgericht entschied, dass Banken unter UmstĂ€nden selbst bei FahrlĂ€ssigkeit teilweise haften mĂŒssen. FachanwĂ€lte raten Betroffenen, im Schadensfall sĂ€mtliche Kommunikationsdaten und Transaktions-IDs zu sichern.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wirtschaft | 69763125 |