Neue Phishing-Welle nutzt Smartphone-Verbindungen aus

Eine neue Welle hochentwickelter Phishing-Angriffe zielt auf Smartphone-Nutzer in Deutschland ab. Die sogenannten Cross-Device-Methoden nutzen die Verknüpfung mehrerer Geräte aus, um sensible Daten zu stehlen. Sicherheitsbehörden und Verbraucherschützer warnen aktuell vor den raffinierten Taktiken, die QR-Codes und Messenger-Dienste manipulieren.

QR-Code-Falle: Das steckt hinter “Quishing”

Cyberkriminelle setzen vermehrt auf “Quishing” – eine Kombination aus QR-Code und Phishing. Der Vorteil für Angreifer: Die bösartige Ziel-URL bleibt bis zum Scan unsichtbar.

Die gefälschten Codes tauchen nicht nur digital, sondern auch im öffentlichen Raum auf. In mehreren deutschen Städten klebten manipulierte QR-Code-Aufkleber auf Parkautomaten. Wer sie scannt, um zu bezahlen, landet auf einer betrügerischen Seite zur Abfrage von Kreditkartendaten. Auch an E-Auto-Ladesäulen und in gefälschten Bankbriefen wurden solche Codes entdeckt.

Passend zum Thema Quishing und Ghost Pairing: Aktuelle Phishing-Methoden nutzen QR-Codes und Messenger‑Schwachstellen, um Kontozugänge zu kapern. Das kostenlose Anti‑Phishing‑Paket erklärt in 4 Schritten, wie Sie betrügerische Seiten und Kopplungs‑Tricks erkennen, Notfallmaßnahmen einleiten und Mitarbeiter oder Angehörige schützen. Enthalten sind Checklisten und praxisnahe Tipps für Unternehmen und private Nutzer. So reduzieren Sie das Risiko von Kontenübernahmen deutlich. Anti‑Phishing‑Paket jetzt herunterladen

WhatsApp-Hack: So funktioniert “Ghost Pairing”

Eine besonders tückische Methode zielt auf die Übernahme von WhatsApp-Konten ab. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor “Ghost Pairing”.

Der Angriff missbraucht die offizielle Funktion zur Gerätekopplung:
* Das Opfer erhält eine Phishing-Nachricht, oft von einem bekannten, bereits gehackten Konto.
* Diese leitet auf eine gefälschte Webseite, die zur Bestätigung der Telefonnummer auffordert.
* Mit dieser Nummer initiieren die Angreifer im Hintergrund die WhatsApp-Funktion “Gerät über Telefonnummer verknüpfen”.
* Das Opfer erhält eine echte Kopplungsanfrage in seiner WhatsApp-App. Gibt es den Code auf der Phishing-Seite ein, erhält der Kriminelle vollen Zugriff auf das Konto.

Da eine legitime App-Funktion ausgenutzt wird, bleibt der Angriff oft lange unbemerkt.

Selbst Hochsicherheitssysteme sind gefährdet

Die fortschrittlichsten Angriffe können sogar Multi-Faktor-Authentifizierung (MFA) mit FIDO-Sicherheitsschlüsseln aushebeln. Bei dieser “Adversary-in-the-Middle”-Attacke agiert der Angreifer als unsichtbarer Vermittler.

Der Nutzer gibt seine Daten auf einer perfekten Phishing-Seite ein. Die Angreifer leiten sie in Echtzeit an den echten Dienst weiter. Dieser generiert einen legitimen QR-Code zur Identitätsprüfung, den die Phishing-Seite abfängt und dem Opfer zeigt. Scannt der Nutzer diesen Code mit seinem Smartphone, erteilt er in Wahrheit der Sitzung des Angreifers die Freigabe.

Experten betonen: Das ist kein Fehler im FIDO-Protokoll, sondern ein Missbrauch der Komfortfunktion, besonders wenn keine zusätzlichen Näherungsprüfungen per Bluetooth erzwungen werden.

So schützen Sie sich vor Cross-Device-Angriffen

Der Erfolg der Angriffe beruht auf der Ausnutzung von Gewohnheit und Vertrauen. Schutz bietet eine Kombination aus Vorsicht und technischen Maßnahmen:

• Seien Sie misstrauisch: Scannen Sie keine unaufgefordert zugesandten oder physisch überklebten QR-Codes.
• Prüfen Sie die URL: Nach dem Scannen immer die Web-Adresse im Browser genau kontrollieren, bevor Sie Daten eingeben.
• Aktivieren Sie 2FA: Nutzen Sie die Zwei-Faktor-Authentisierung für alle wichtigen Konten, besonders für Messenger.
• Handeln Sie schnell: Bei Verdacht auf einen Angriff sofort die Bank kontaktieren und bei der Polizei Anzeige erstatten.

Die Verlagerung von reinen E-Mail-Angriffen hin zu interaktiven, geräteübergreifenden Methoden stellt eine erhebliche Eskalation dar und erfordert ein neues Maß an Wachsamkeit.

PS: Sie möchten nicht, dass ein einziger QR-Scan oder ein vermeintlich vertrauter Chatzugang Ihre Konten freigibt? Das Anti‑Phishing‑Paket liefert eine leicht umsetzbare 4‑Schritte‑Anleitung, erklärt psychologische Angriffsmuster und zeigt konkrete Abwehrmaßnahmen für Smartphones, Messenger und Unternehmensnetzwerke. Besonders nützlich für kleine Firmen, Home‑Office‑Teams und vorsichtige Privatnutzer – inklusive Checkliste für den Ernstfall. Jetzt Anti‑Phishing‑Leitfaden sichern