Quishing und KI-Betrug: Neue Bedrohungen für Smartphone-Nutzer

Verbraucherschützer und Landeskriminalämter schlagen Alarm. Eine neue Welle hybrider Betrugsmethoden überrollt Smartphone-Nutzer. Während klassische Phishing-Mails zunehmend von Spam-Filtern abgefangen werden, weichen Kriminelle auf die physische Welt und künstliche Intelligenz aus.

Im Fokus stehen manipulierte QR-Codes im öffentlichen Raum und täuschend echte Stimmenimitationen am Telefon. Die Methoden werden immer raffinierter – und gefährlicher.

Das sogenannte “Quishing” (QR-Code-Phishing) entwickelt sich zur perfidesten Betrugsmasche. Anders als bei digitalen Links ist das Ziel eines QR-Codes für das bloße Auge nicht erkennbar. Diese Blindheit nutzen Betrüger systematisch aus.

Das LKA Niedersachsen und die Verbraucherzentralen warnen vor einer alarmierenden Verschiebung vom digitalen Postfach in den öffentlichen Raum. Besonders betroffen sind Parkscheinautomaten und Ladesäulen für Elektroautos.

Viele Smartphone-Nutzer unterschätzen Sicherheitslücken, die Kriminelle sich über manipulierte QR-Codes oder unsichere App-Berechtigungen zunutze machen. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android – mit leicht verständlichen Schritt-für-Schritt-Anleitungen, empfohlenen Einstellungen und Checklisten für Banking- und Bezahl-Apps. So schützen Sie WhatsApp, Online-Banking und PayPal-Konten effektiv vor Datenklau und ungewolltem Zugriff. Inklusive Tipps, wie Sie verdächtige QR-Codes erkennen und was Sie sofort tun sollten, wenn Sie einen Verdacht haben. Jetzt kostenloses Android-Schutzpaket herunterladen

In Hannover, Berlin und Köln wurden hunderte Fälle gemeldet, bei denen Kriminelle legitime QR-Codes der Betreiber mit täuschend echten Aufklebern überdeckten. Autofahrer scannen die Codes und landen nicht auf der App des Anbieters, sondern auf gefälschten Webseiten.

Dort greifen die Täter Kreditkartennummern und Login-Daten für Zahlungsdienstleister wie PayPal ab. Das BSI betont: Die Angriffe sind besonders erfolgreich, weil sie in Alltagssituationen erfolgen, in denen Nutzer unter Zeitdruck stehen.

Der Briefkasten-Trick: Analog trifft Digital

Verbraucherzentralen registrieren aktuell eine Zunahme physischer Briefsendungen, die angeblich von Hausbanken stammen. Der Inhalt wirkt hochprofessionell: Angeblich erfordern neue Sicherheitsbestimmungen eine dringende Datenaktualisierung.

Statt einer abtippbaren URL prangt ein QR-Code prominent im Brief. Die Masche funktioniert aus drei Gründen:

• Vertrauensvorschuss: Ein physischer Brief wirkt seriöser als eine E-Mail
• Umgehung von Sicherheitssoftware: Der Brief landet nicht im Spam-Filter
• Medienbruch: Der Wechsel vom Papier zum Smartphone senkt die Hemmschwelle

Die Codes führen auf Phishing-Seiten, die für mobile Browser optimiert sind und Bank-Logins millimetergenau nachbilden. Sobald der Nutzer seine TAN eingibt, übernehmen die Täter das Konto in Echtzeit.

KI macht den Enkeltrick perfekt

Das Telefon-Spoofing erreicht durch generative KI eine neue Dimension. War der klassische Enkeltrick noch auf schauspielerisches Talent angewiesen, nutzen Kriminelle heute Voice-Cloning-Technologie.

Bereits wenige Sekunden Audiomaterial aus sozialen Medien reichen aus, um eine Stimme mittels KI zu klonen. Betrüger nutzen diese Technologie für Schockanrufe. Das Opfer hört nicht mehr eine fremde Stimme, sondern eine täuschend echte Kopie der Stimme des eigenen Kindes.

In Kombination mit Call-ID-Spoofing wird die Telefonnummer manipuliert. Auf dem Display erscheint dann “Mama” oder “Polizei”. Die Täuschung ist für Laien kaum noch zu durchschauen.

Die Täter fordern unter extremem Zeitdruck Geldüberweisungen oder die Übergabe von Wertsachen – angeblich um eine Haftstrafe nach einem Unfall abzuwenden.

Professionalisierung der Cyberkriminalität

Die aktuelle Bedrohungslage markiert einen Wendepunkt. Baukästen für täuschend echte Phishing-Seiten und KI-Tools zur Stimmgenerierung sind im Darknet kostengünstig verfügbar. Analysten sprechen von einer “Cybercrime-as-a-Service”-Ökonomie.

Der Erfolg liegt in der Ausnutzung des menschlichen Faktors. Während technische Systeme immer besser werden, umgehen Quishing und Voice-Spoofing diese Hürden durch direkte Manipulation.

Die Angriffe werden gezielter. Statt Millionen generischer Spam-Mails investieren Täter mehr Aufwand in glaubwürdige Szenarien. Das erhöht die Erfolgsquote pro Angriff drastisch.

Was kommt als Nächstes?

Experten erwarten eine weitere Verschärfung in den kommenden Monaten:

• Dynamisches Quishing: QR-Codes, die sich beim Scannen je nach Standort oder Gerät verändern
• Video-Deepfakes: Nach Audio folgt Video – erste Fälle wurden bereits im Unternehmensumfeld beobachtet
• Gegenmaßnahmen: Smartphone-Betriebssysteme werden stärkere Sicherheitsmechanismen in Kamera-Apps integrieren

So schützen Sie sich

Bei Parkautomaten gilt: App direkt aus dem App Store laden, niemals Aufkleber scannen. QR-Codes im öffentlichen Raum generell kritisch prüfen.

Bei Briefen von Banken die offizielle Hotline anrufen – Nummer selbst recherchieren, nicht vom Brief ablesen. Oder über den bekannten Weg im Online-Banking einloggen und Nachrichten dort prüfen.

Bei schockierenden Anrufen hilft eine simple Kontrollfrage, die nur der echte Verwandte beantworten kann. Oder sofort auflegen und unter der bekannten Nummer zurückrufen. Druck und Zeitnot sind immer Warnsignale.

PS: Wenn Quishing und KI-basierte Telefontricks Sie beunruhigen, lohnt sich ein konkreter Sicherheitsplan für Ihr Smartphone. Der Gratis-Ratgeber führt in fünf einfachen Schritten durch notwendige Voreinstellungen, Sicherheits-Checks und Sofortmaßnahmen für den Verdachtsfall – ideal, um Panikreaktionen zu vermeiden und Konten schnell zu sichern. Zusätzlich gibt es eine Notfall-Checkliste für den Fall eines möglichen Betrugsversuchs. Gratis-Sicherheitsratgeber für Android anfordern