Smishing und Quishing: Warnung vor neuer Betrugsmasche

Eine Welle raffinierter Phishing-Angriffe über Smartphones hat weltweit Finanzaufsichten und Cybersecurity-Behörden auf den Plan gerufen. Pünktlich zum Start der Weihnachtseinkaufssaison schlagen Experten Alarm: Betrüger setzen zunehmend auf gefälschte SMS (Smishing) und manipulierte QR-Codes (Quishing), um an Bankdaten zu gelangen. Die Maschine läuft auf Hochtouren – und die Zahlen sind alarmierend.

Ein aktueller Bericht der auf KI spezialisierten Sicherheitsfirma Bolster AI vom gestrigen Mittwoch zeigt das ganze Ausmaß der Bedrohung: Die Smishing-Angriffe sollen allein im November um erschreckende 122 Prozent zunehmen. Hinzu kommt ein Anstieg gefälschter Paket-Benachrichtigungen um mehr als 105 Prozent im Jahresvergleich. Diese Kombination hat Behörden weltweit veranlasst, dringend vor unaufgeforderten mobilen Nachrichten zu warnen, die angeblich von Banken oder Lieferdiensten stammen.

Wenn das Smartphone zur Falle wird

Warum setzen Kriminelle plötzlich verstärkt aufs Handy? Die Antwort liegt auf der Hand: SMS wirken persönlicher und vertrauenswürdiger als E-Mails. Nutzer reagieren schneller auf eine dringlich klingende Textnachricht – besonders wenn angeblich ein Paket auf sie wartet oder die Bank „dringende Sicherheitsprüfungen” ankündigt.

Die Hongkonger Finanzaufsicht HKMA musste allein diese Woche an drei aufeinanderfolgenden Tagen – am 17., 18. und 19. November – Warnungen vor betrügerischen Websites und Phishing-Attacken aussprechen. Die Botschaft ist eindeutig: Keine seriöse Bank verschickt SMS mit Links zu Transaktionen oder fragt per Nachricht nach Passwörtern. Doch viele Nutzer fallen trotzdem auf die perfekt gefälschten Nachrichten herein.

Passend zum Thema Smartphone-Sicherheit: Viele Android-Nutzer übersehen diese 5 grundlegenden Schutzmaßnahmen, mit denen Angriffe per SMS, schädlichen Links oder manipulierten QR-Codes deutlich seltener Erfolg haben. Der kostenlose Ratgeber erklärt in leicht verständlichen Schritten, wie Sie automatische Updates, App-Rechte, Zwei-Faktor-Authentifizierung und QR-Checks richtig konfigurieren – ohne zusätzliche Kosten. Schützen Sie WhatsApp, Online-Banking und PayPal schnell und praxisnah. Gratis-Sicherheitspaket für Android herunterladen

Besonders heimtückisch: das sogenannte Quishing. Dabei verstecken Betrüger schädliche Links in QR-Codes, die per E-Mail verschickt oder sogar auf Plakaten aufgeklebt werden. Das Tückische daran? Anders als bei einem sichtbaren Link kann niemand erkennen, wohin der Code führt, bevor er gescannt wird. Ein Scan – und schon landet das Opfer auf einer täuschend echt aussehenden Fake-Banking-Seite oder lädt sich Schadsoftware herunter.

Google schlägt zurück: Klage gegen Betrugs-Plattform

Wie organisiert diese Angriffswelle läuft, zeigt eine spektakuläre Klage von Google Mitte November. Der Technologiekonzern geht juristisch gegen die Betreiber einer „Phishing-as-a-Service”-Plattform namens „Lighthouse” vor. Diese Plattform soll es Kriminellen unfassbar einfach gemacht haben, massenhaft Smishing-Kampagnen zu starten – selbst ohne technische Vorkenntnisse.

Die mutmaßlichen Hintermänner, eine Gruppe namens „Smishing Triad”, boten ihren „Kunden” quasi ein Komplettpaket an: gefälschte Websites, vorgefertigte SMS-Texte und die gesamte Infrastruktur für Betrugsaktionen im großen Stil. Über eine Million Menschen weltweit sollen so um ihre Finanzdaten gebracht worden sein. Die Maschen reichten von erfundenen Mautgebühren bis zu angeblichen Problemen bei der Paketzustellung – alles darauf ausgelegt, Zeitdruck zu erzeugen und übereilte Reaktionen zu provozieren.

Kann man überhaupt noch etwas bestellen, ohne Angst vor solchen Betrugsmaschen haben zu müssen? Googles Vorstoß zeigt zumindest: Die Tech-Giganten nehmen das Problem ernst und gehen nun daran, die kriminelle Infrastruktur selbst anzugreifen, statt nur einzelne betrügerische Nachrichten zu blockieren.

Black Friday im Visier der Betrüger

Besonders brisant wird die Lage jetzt zum Black Friday. Das britische National Cyber Security Centre (NCSC) hat diese Woche seine „Stop! Think Fraud”-Kampagne intensiviert. Die Warnung kommt nicht von ungefähr: Allein in der vergangenen Weihnachtssaison verloren britische Verbraucher umgerechnet knapp 14 Millionen Euro durch Online-Shopping-Betrug, wie die Londoner Polizei berichtet.

Die Empfehlungen der Cybersecurity-Experten sind konkret: Erstens, aktiviert die Zwei-Faktor-Authentifizierung für alle wichtigen Accounts – eine zusätzliche Sicherheitsbarriere, die selbst bei gestohlenem Passwort schützt. Zweitens, seid grundsätzlich misstrauisch bei unerwarteten Lieferbenachrichtigungen. Kriminelle imitieren perfekt die Aufmachung von DHL, Hermes oder Amazon. Klickt niemals auf Links in solchen Nachrichten, sondern öffnet stattdessen direkt die offizielle Website oder App des Anbieters.

Drittens: Nutzt beim Online-Shopping sichere Zahlungsmethoden. Kreditkarten oder etablierte Payment-Dienste bieten deutlich mehr Schutz als direkte Überweisungen, bei denen das Geld meist unwiederbringlich weg ist.

Warum mobile Geräte zum Einfallstor werden

Die Verlagerung der Angriffe aufs Smartphone ist strategisch clever durchdacht. Der kleinere Bildschirm erschwert es, gefälschte Websites zu erkennen. Subtile Hinweise wie leicht abweichende URLs oder fehlende Sicherheitszertifikate fallen auf dem Handy-Display weniger auf als am Computer. Zudem sind Smartphones oft schlechter geschützt als Firmen-Netzwerke – die Sicherheitsverantwortung liegt hier vollständig beim Nutzer.

Erschwerend kommt hinzu: Betrüger setzen zunehmend Künstliche Intelligenz ein, um ihre Nachrichten perfekt zu formulieren. Die früher verräterischen Rechtschreibfehler und holprigen Formulierungen? Längst Geschichte. Moderne Scam-Texte sind grammatikalisch einwandfrei und kaum von echten Nachrichten zu unterscheiden.

Ein weiteres Problem: Schädliche QR-Codes in Bildern umgehen traditionelle Sicherheitsfilter, die URLs blockieren sollen. Die Gefahr versteckt sich unsichtbar im Code selbst.

Misstrauen als beste Verteidigung

Was bedeutet das konkret für Verbraucher? Die Faustregel lautet: Null Vertrauen in unaufgeforderte Links oder QR-Codes, die per SMS oder E-Mail eintreffen. Wie die Hongkonger Finanzaufsicht betont: Keine seriöse Institution fordert jemals per Textnachricht zur Eingabe von Login-Daten auf.

Der goldene Ratschlag für die kommenden Wochen intensiven Online-Shoppings? Stopp. Nachdenken. Verifizieren. Bevor ihr auf einen Link klickt oder einen QR-Code scannt, kontaktiert den angeblichen Absender direkt über dessen offizielle App oder Website. Ruft im Zweifel die auf der Bankkarte aufgedruckte Kundenhotline an.

Diese kurze Pause zum Überprüfen ist derzeit die wirksamste Verteidigung gegen die anschwellende Flut mobiler Betrugsfälle. Denn während Sicherheitsfirmen und Tech-Konzerne wie Google die kriminelle Infrastruktur bekämpfen, bleibt die erste Verteidigungslinie letztlich jeder Einzelne von uns. Gerade jetzt, wo Millionen Menschen ihre Weihnachtseinkäufe erledigen, ist gesunde Skepsis mehr wert als jede Schnäppchenjagd.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – Tipp 3 schließt eine oft übersehene Lücke, die Kriminelle beim Smishing gezielt ausnutzen. Der leicht verständliche Leitfaden enthält Checklisten und Schritt-für-Schritt-Anleitungen für automatische Prüfungen, sichere Zahlungsmethoden und den richtigen Umgang mit QR-Codes. Besonders jetzt vor Black Friday ein wichtiger Schutz für Ihre Konten. Jetzt kostenlosen Android-Schutz-Ratgeber sichern