Quishing-Angriffe explodieren: 146 Prozent mehr QR-Code-Betrug

Besonders eine Betrugsmasche namens „Quishing“ – eine Wortschöpfung aus QR-Code und Phishing – breitet sich rasant aus. Laut Microsoft verzeichnete das QR-Code-Phishing allein im ersten Quartal einen Zuwachs von 146 Prozent.

Experten warnen: Die psychologische Hürde beim Scannen eines QR-Codes liegt deutlich niedriger als beim Klicken auf einen verdächtigen Link. Das nutzen Kriminelle weltweit für großangelegte Kampagnen.

Da die Hemmschwelle beim Scannen bösartiger QR-Codes sinkt, ist ein umfassender Geräteschutz heute wichtiger denn je. Dieser kostenlose Ratgeber zeigt in 5 einfachen Schritten, wie Sie Ihr Smartphone wirksam gegen Hacker und Datenmissbrauch absichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt kostenlos sichern

So tricksen die Betrüger

Die Methoden werden immer raffinierter. Ein aktuelles Beispiel von den Philippinen zeigt das Ausmaß: In der Region Cavite verloren Geschäftsinhaber über 23.000 Einheiten der lokalen Währung aus ihren E-Wallets. Die Täter manipulierten den Bezahlvorgang mit einem präparierten QR-Code, der eine Einzahlung vorgab. Stattdessen verknüpfte sich das Portemonnaie mit einer Shopping-App – die Betrüger führten unberechtigte Transaktionen durch.

Parallel beobachten Sicherheitsbehörden wie das australische ACSC sogenannte „ClickFix“-Angriffe. Nutzer landen auf kompromittierten Webseiten mit gefälschten CAPTCHAs. Sie kopieren einen PowerShell-Befehl und führen ihn mit Adminrechten aus – das installiert Infostealer-Malware wie „Vidar“.

Zimperium zLabs deckte zudem die globale Überwachungskampagne „Arsink RAT“ auf. Über 1.200 bösartige Apps tarnen sich als bekannte Marken und stehlen Daten von rund 45.000 infizierten Geräten in über 140 Ländern. Die Spyware klaut SMS, Anruflisten, Standortdaten und sogar Mikrofonaufnahmen.

Kritische Lücken in Chips und Betriebssystemen

Die Angriffswelle trifft auf eine komplexe technische Landschaft. Das indische CERT-In warnte kürzlich vor kritischen Sicherheitslücken in Qualcomm-Snapdragon-Chipsätzen. Betroffen sind Modelle von der 8er-Serie bis zu günstigen 4-Gen-Chips – potenziell ermöglichen sie Remote-Codeausführung und Rechteausweitung.

Auch die Betriebssysteme haben Baustellen. Für Android wurde die kritische Lücke CVE-2026-0073 identifiziert. Sie ermöglicht Remote-Codeausführung auf den Versionen 14 bis 16. Google lieferte den Patch im Mai-Update 2026 aus. Samsung schloss zeitgleich 47 Sicherheitslücken im Galaxy M15 und in den Google-Play-System-Updates.

Apple veröffentlichte iOS 26.4.2 und den Release Candidate von iOS 26.5. Sie beheben CVE-2026-28950 – gelöschte Benachrichtigungen blieben in Systemprotokollen erhalten und konnten wiederhergestellt werden. Das Update bringt zudem Ende-zu-Ende-verschlüsseltes RCS für die Kommunikation mit Android-Geräten.

Ein interessanter Konflikt zeigt sich bei VPN-Sicherheit. GrapheneOS schloss im Mai die Lücke „Tiny UDP Cannon“ in Android 16 – sie ließ IP-Daten außerhalb des verschlüsselten Tunnels abfließen. Google hatte den Fehler zuvor als nicht praktikabel zu beheben eingestuft.

Hohe Verluste, geringer Schutz

Die finanziellen Folgen sind erheblich. Laut SquareTrade hat jeder zehnte Europäer bereits Verluste durch Diebstahl oder Betrug mit Mobilgeräten erlitten. In Extremfällen beliefen sich die Schäden auf bis zu 25.000 Euro. Besonders alarmierend: 55 Prozent nutzen ihr Smartphone für Bankgeschäfte, aber nur 10 Prozent haben einen dedizierten Diebstahlschutz.

In Deutschland zeigt sich Skepsis gegenüber Hilfsangeboten. Rund 36 Prozent der Bürger glauben nicht, dass ihnen im Betrugsfall effektiv geholfen würde. PureVPN analysierte 1,5 Millionen kompromittierte Datensätze und stellte fest: Bis zu 35 Prozent der großen Sicherheitsverletzungen gehen auf kombinierte Angriffsvektoren zurück – etwa gestohlene Zugangsdaten plus Netzwerk-Exploits.

Angesichts der hohen finanziellen Schäden durch gezielten Smartphone-Betrug wird die richtige Konfiguration von Sicherheits-Updates zur wichtigsten Verteidigungslinie. Computerwissen erklärt in diesem Gratis-Leitfaden, wie automatische Updates Ihr Gerät rund um die Uhr vor Malware und neuen Sicherheitslücken schützen. Kostenlosen Sicherheits-Report zu Smartphone-Updates herunterladen

Die Industrie reagiert. GTT Korea setzt auf KI-gestützte Sicherheitslösungen. Ihr „Mobile SOC Agent“ soll die Untersuchungszeit von Tagen auf Minuten reduzieren – durch verhaltensbasierte Anomalieerkennung statt klassischer Signaturmethoden.

Politischer Druck auf Verschlüsselung

Über die technische Kriminalität hinaus droht regulatorischer Gegenwind. In Kanada sorgt der Gesetzesentwurf „Bill C-22“ für Debatten. Apple und Meta warnen: Das Gesetz könnte Unternehmen zwingen, Hintertüren in die Ende-zu-Ende-Verschlüsselung einzubauen. Apple betonte, niemals Maßnahmen zu ergreifen, die die Verschlüsselung systemisch schwächen.

Die Entwicklung erinnert an die britische „Data Access Order“ von 2025. Apple zog daraufhin bestimmte Datenschutzfunktionen im Vereinigten Königreich zurück. Die kanadische Regierung argumentiert, das Gesetz führe keine systemischen Schwachstellen ein – es stelle nur Ermittlungswerkzeuge für die Polizei bereit.

Was kommt als Nächstes?

Google führte zum 1. Mai 2026 „Binary Transparency“ ein – das soll die Integrität von App-Installationen besser verifizierbar machen. Apple bereitet sich auf die WWDC 2026 am 8. Juni vor. Dort wird iOS 27 erwartet, das mehr Wahlmöglichkeiten bei KI-Modellen bietet – etwa zwischen ChatGPT, Google Gemini oder Anthropic Claude.

Experten raten: Updates nicht nur fürs Betriebssystem, sondern auch für Systemkomponenten wie das Google-Play-System zeitnah installieren. Da Hardware-Zyklen länger werden, definiert sich die Qualität eines Smartphones im Jahr 2026 primär über die Verlässlichkeit seiner Sicherheitsinfrastruktur. Die Bekämpfung von Quishing bleibt ein zentrales Schlachtfeld – denn die Methode nutzt die Schnittstelle zwischen menschlicher Gutgläubigkeit und technischer Funktionalität maximal aus.

de | wissenschaft | 69293762 |