LGR CMS

Tag: Cybercrime

  • Vishing-Pink: Wie die Erpressergruppe MFA-Codes erpresst und Senioren bedroht

    Vishing-Pink: Wie die Erpressergruppe MFA-Codes erpresst und Senioren bedroht

    LGR Reutlingen – 06 Juni 2026 | Die jüngsten Meldungen über Vishing-Attacken Erpressergruppe Pink ergaunert MFA-Codes mit 72h-Frist haben die Sicherheitsbehörden in Deutschland, Österreich und der Schweiz alarmiert. Unter dem Decknamen „Pink“ operierende Kriminelle nutzen Voice‑Phishing, um an Multifaktor‑Authentifizierungscodes (MFA) zu gelangen und setzen Opfer – vor allem Senioren – unter Druck, innerhalb von drei Tagen Geld zu überweisen. Der Vorfall wirft ein grelles Licht auf strukturelle Schwächen im Kundenkontakt von Banken und Unternehmen.

    Vishing-Attacken Erpressergruppe Pink ergaunert MFA-Codes mit 72h-Frist – Hintergründe und Vorgehen

    Die Gruppe positioniert sich am Telefon als IT‑Help‑Desk oder als Bankmitarbeiter. Mit überzeugender Fachsprache fordern die Täter das Opfer auf, den aktuell gültigen MFA‑Code zu nennen, der für den Zugriff auf Online‑Banking, Cloud‑Dienste wie SharePoint oder OneDrive nötig ist. Sobald der Code übermittelt wurde, öffnen die Täter die Konten, verschlüsseln Daten oder leiten Geldtransfers ein. Die 72‑Stunden‑Frist dient als psychologisches Druckmittel: Wer nicht sofort reagiert, riskiert den Verlust sensibler Daten.

    Die Methoden sind jedoch nicht auf das Telefon beschränkt. Ermittlungen zeigen, dass die Täter häufig zuvor über Messenger‑Dienste wie WhatsApp oder Signal Kontakt aufnehmen, um das Vertrauen zu gewinnen. In Österreich warnte die Erste Bank am 5. Juni ausdrücklich davor, dass Kunden niemals über einen Messenger aufgefordert werden, QR‑Codes oder TAN‑Codes zu übermitteln. Gleiches gilt für die Sparkassen in Deutschland, die seit Anfang des Jahres eine Welle von Phishing‑E‑Mails zu angeblichen Sicherheitsupdates für die S‑push‑TAN‑App melden.

    Ein besonders perfides Element ist die physische Komponente: In mehreren deutschen Städten, darunter Göttingen, Geismar und Ludwigshafen, wurden Senioren in ihren Wohnungen von Tätern aufgesucht, die sich als Bankmitarbeiter ausgaben. Dort wurden Bankkarten samt PIN entwendet oder persönliche Daten erpresst. Die Kombination aus persönlicher Präsenz und telefonischer Täuschung erhöht die Erfolgsquote erheblich.

    Betroffene Sektoren und ökonomische Auswirkungen

    Während Privatkunden – vor allem ältere Menschen – die sichtbarste Zielgruppe darstellen, haben Unternehmen ebenfalls Einbußen zu verkraften. Laut einer Deloitte‑Studie aus 2025 haben 97 % der großen Unternehmen im DACH‑Raum bereits Cyber‑Vorfälle gemeldet, wobei 42 % auf Vishing‑Methoden zurückzuführen sind. Die erlangten MFA‑Codes ermöglichen den Angreifern, Cloud‑Ressourcen zu kompromittieren, was nicht nur zu Datenverlust, sondern auch zu erheblichen Reputationsschäden führt.

    Finanzinstitute reagieren mit verstärkten Aufklärungsmaßnahmen. Die Bank of Ireland meldete einen Anstieg von SMS‑Betrug, bei dem ein Kunde 10.000 Euro verlor. In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im März 2026 ein Warnsystem für verdächtige Anrufe eingeführt, das auf Android‑Geräten zunächst nur für Pixel‑Modelle verfügbar ist.

    Rechtliche Konsequenzen und laufende Ermittlungen

    Vor dem Landgericht Düsseldorf stehen fünf mutmaßliche Mitglieder der Pink‑Gruppe vor Gericht. Die Angeklagten, zwischen 19 und 25 Jahre alt, sollen Senioren im Wert von rund 400.000 Euro betrogen haben. Vier der Beschuldigten haben bereits Geständnisse abgelegt. In der Schweiz führte die Kantonspolizei Bern am 27. Mai zur Festnahme zweier Kuriere, die im Auftrag der Gruppe Bargeld von älteren Opfern einsammeln sollten.

    Die Strafverfolgungsbehörden fordern klare Verhaltensregeln: Banken dürfen niemals telefonisch oder per Messenger nach Passwörtern, PINs oder TAN‑Codes fragen. Ebenso ist das Abholen von Bankkarten an der Haustür ein eindeutiges Warnsignal. Die Polizei warnt zudem vor Phishing‑Kampagnen, die über WhatsApp Hotelbuchungsdaten ausnutzen – ein Hinweis auf die zunehmende Diversifizierung der Angriffsvektoren.

    Handlungsoptionen für Verbraucher und Unternehmen

    • Keine sensiblen Daten über Telefon oder Messenger preisgeben – Banken kontaktieren Kunden ausschließlich über offizielle Kanäle.
    • Mehrstufige Authentifizierung mit physischem Sicherheitsschlüssel (Passkey) statt SMS‑TAN nutzen.
    • Regelmäßige Schulungen für Mitarbeitende, insbesondere im Kundenservice, um Vishing‑Versuche zu erkennen.
    • Technische Lösungen wie Anrufer‑Identifikation und KI‑basierte Anruf‑Analyse implementieren.
    • Verdächtige Vorfälle sofort an die Polizei oder das BSI melden.

    Die Einführung von Passkeys, die von Google und Apple unterstützt werden, könnte langfristig das Risiko von Vishing‑Angriffen verringern, da keine zeitkritischen Codes mehr übermittelt werden müssen. Bereits jetzt setzen 32 % der deutschen Unternehmen auf Passkey‑Technologie, während 25 % ausschließlich auf klassische Zwei‑Faktor‑Authentifizierung vertrauen.

    Dennoch bleibt die menschliche Komponente das schwächste Glied. Die Erpressergruppe Pink beweist, dass soziale Manipulation nach wie vor ein effektives Mittel ist, um Sicherheitsmechanismen zu umgehen. Ein ganzheitlicher Ansatz – technische, organisatorische und edukative Maßnahmen – ist deshalb unabdingbar, um die wachsende Gefahr von Vishing‑Attacken einzudämmen.

  • Silent Ransom Group: Kriminelle schicken falsche IT‑Techniker – Neue Bedrohung für Unternehmen

    Silent Ransom Group: Kriminelle schicken falsche IT‑Techniker – Neue Bedrohung für Unternehmen

    LGR Reutlingen – 06 Juni 2026 | Die Silent Ransom Group Kriminelle schicken falsche IT-Techniker und setzen damit ein bislang selten gesehenes Mischmodell aus digitaler Erpressung und klassischem Einbruch. Während herkömmliche Ransomware‑Gruppen ausschließlich über das Netzwerk agieren, lässt die SRG heute echte Menschen vor die Tür von Unternehmen treten, sich als Support‑Mitarbeiter ausgeben und per USB‑Stick sensible Dokumente entwenden. Die jüngste gemeinsame Warnung von FBI und Googles Threat‑Intelligence‑Team Mandiant macht deutlich, dass diese Entwicklung nicht mehr ein Einzelfall, sondern ein strukturiertes Vorgehen ist, das bereits Dutzende von Organisationen in den USA – vor allem Anwaltskanzleien der AmLaw 100 – zwischen Januar und Mai 2026 getroffen hat.

    Silent Ransom Group Kriminelle schicken falsche IT-Techniker – So funktioniert der Angriff

    Der Angriff beginnt typischerweise mit einem Vishing‑Anruf. Die Täter geben sich als Help‑Desk‑Mitarbeiter aus, nennen dabei meist ein gängiges Remote‑Tool wie Zoho Assist, AnyDesk oder TeamViewer. Sie fordern den Gesprächspartner auf, einen vermeintlichen Patch zu installieren oder eine Systemdiagnose zu starten. In vielen Fällen gelingt der Fernzugriff, doch wenn das Zielgerät stark abgesichert ist, wechseln die Kriminellen schnell zur nächsten Phase: Sie schicken ein Team von „IT‑Technikern“ zum Firmensitz. Diese Personen tragen offizielle Ausweise, oft gefälscht, und präsentieren sich als von einem bekannten Dienstleister beauftragte Techniker.

    Einmal im Gebäude, nutzen sie soziale Schwächen aus. Sie fragen nach einer kurzen Begleitung zum Serverraum, erklären, dass ein kritisches Update nur vor Ort durchgeführt werden könne, und überzeugen die anwesenden Mitarbeiter, die Tür zu öffnen. Sobald sie physischen Zugang haben, schließen sie das Zielsystem an einen Laptop an, kopieren Daten auf einen verschlüsselten USB‑Stick oder starten eine schnelle Übertragung via legitimen Tools wie WinSCP oder Rclone in einen Cloud‑Speicher. Der gesamte Vorgang – von der ersten Telefonzelle bis zum Verlassen des Gebäudes – wird häufig innerhalb eines Arbeitstages abgeschlossen.

    Im Unterschied zu klassischen Ransomware‑Varianten verschlüsselt die Silent Ransom Group die entwendeten Dateien nicht. Stattdessen setzen sie auf schnellen Datenabfluss und den anschließenden Erpressungsdruck. Innerhalb von 30 Minuten nach dem physischen Einbruch erhalten die Opfer eine E‑Mail, die mit der Drohung endet, die gestohlenen Unterlagen – häufig vertrauliche Vertragsentwürfe, Mandanten‑Korrespondenz oder Finanzberichte – auf der eigenen Leak‑Seite business‑data‑leaks.com zu veröffentlichen, sofern kein Lösegeld bezahlt wird.

    Die Gruppe nutzt dabei eine hochgradig dynamische Fast‑Flux‑DNS‑Infrastruktur. Ein Botnetz aus kompromittierten IoT‑Geräten, Heimroutern und Servern in Lateinamerika, Osteuropa, Zentralasien und dem Nahen Osten wechselt die IP‑Adressen der Command‑and‑Control‑Server in Sekundentakten. Dadurch erschwert sie die Rückverfolgung erheblich, während gleichzeitig die Verfügbarkeit von Upload‑Endpoints für die gestohlenen Daten gesichert bleibt.

    Ein weiterer Unterschied zu reinen Ransomware‑Operationen ist das Fehlen einer eigens entwickelten Verschlüsselungssoftware. Stattdessen werden Standard‑Tools eingesetzt, die in vielen Unternehmen ohnehin im Einsatz sind. Diese Taktik macht die Angriffe schwerer zu erkennen, weil die genutzten Protokolle und Prozesse auf den ersten Blick legitim erscheinen.

    Die Zielgruppe der SRG ist klar definiert: Neben den prominenten US‑Anwaltskanzleien zählen Banken, Finanzdienstleister, Krankenhäuser und Versicherungen zu den Hauptopfern. Die meisten dieser Organisationen verwalten enorme Mengen an personenbezogenen und geschäftskritischen Daten, die bei einem Leak massive Reputations- und Rechtsfolgen nach sich ziehen würden. Der wirtschaftliche Schaden lässt sich daher kaum beziffern, doch erste Schätzungen von Sicherheitsfirmen gehen von Verlusten in Millionenhöhe aus, wenn Unternehmen neben dem Lösegeld auch Kosten für Forensik, Rechtsstreitigkeiten und Wiederherstellung der Vertrauensbasis einplanen müssen.

    Die Ermittler von Mandiant haben zudem Verbindungen zu einem neuen Projekt mit dem Arbeitstitel „Spy Corporate“ gefunden, das im Mai 2026 erstmals öffentlich erwähnt wurde. Dort scheint die SRG ihr Portfolio zu erweitern, indem sie gezielt Insider‑Informationen aus internen Kommunikationsplattformen sammeln, um später gezielte Erpressungen zu betreiben. Dieses Vorgehen verdeutlicht, dass die Gruppe nicht nur Daten exfiltriert, sondern auch versucht, langfristige Einflussmöglichkeiten aufzubauen.

    Die Gefahr, die von physischen Social‑Engineering‑Angriffen ausgeht, liegt darin, dass traditionelle Cyber‑Defenses – Firewalls, Intrusion‑Detection‑Systeme und Endpoint‑Protection – allein nicht ausreichen. Unternehmen müssen jetzt ihre Prozesse zur Identitätsprüfung von externen IT‑Dienstleistern überarbeiten. Das bedeutet, dass jede Person, die physischen Zugang zu Serverräumen, Netzwerkschaltern oder sensiblen Arbeitsplätzen verlangt, durch mehrere Authentifizierungsstufen verifiziert werden muss – etwa durch Rückruf bei der angeblichen Firma, Durchsicht von Dienstleistungsaufträgen und das Einfordern von Original‑Ausweisen, die mit einer internen Datenbank abgeglichen werden.

    Einige Unternehmen haben bereits reagiert. Die Anwaltskanzlei Baker McKenzie hat ein neues Protokoll eingeführt, bei dem Besucher nur nach vorheriger Genehmigung durch die IT‑Security‑Abteilung Zutritt erhalten. Der IT‑Leiter von JPMorgan, Michael Klein, betont in einem Interview, dass das Unternehmen künftig verstärkt auf physische Zugangskontrollen und Video‑Monitoring setzt, um die Wahrscheinlichkeit von Täuschungsmanövern zu reduzieren.

    Gleichzeitig arbeiten die Behörden an einem koordinierten Vorgehen. Das FBI hat ein spezielles Task‑Force‑Team eingerichtet, das neben forensischen Analysen auch Schulungen für Unternehmen anbietet, wie man gefälschte Techniker erkennt. Google‑Mandiant stellt ein kostenloses Whitepaper bereit, das eine Checkliste zur Identitätsprüfung von IT‑Personal sowie Sofortmaßnahmen bei Verdacht auf Vishing oder physische Social‑Engineering‑Versuche enthält.

    Für die betroffenen Unternehmen stellt sich die Frage, ob sie dem Lösegeld nachgeben sollten. Experten raten davon ab, weil die Zahlung keine Garantie für das Nicht‑Veröffentlichen der Daten bietet und gleichzeitig die Kriminellen ermutigt, ihre Taktiken weiter zu verfeinern. Stattdessen sollten Unternehmen sofort einen Incident‑Response‑Plan aktivieren, forensische Experten einschalten und die betroffenen Kunden und Aufsichtsbehörden informieren.

    Langfristig ist die wichtigste Lehre aus den Aktionen der Silent Ransom Group, dass digitale und physische Sicherheit immer mehr miteinander verschmelzen. Unternehmen, die bislang nur in Cyber‑Abwehr investiert haben, müssen nun ihr Sicherheitsbudget um physische Zutrittskontrollen, Mitarbeiterschulungen und robuste Verifizierungsprozesse erweitern. Nur so lässt sich verhindern, dass Kriminelle erneut die Schwelle zu Unternehmensgebäuden überschreiten und dort mit echten Händen Daten entwenden.

    Der Trend zu hybriden Angriffen dürfte weiter zunehmen. Analysten sehen bereits Anzeichen dafür, dass andere Ransomware‑Gruppen ihre Vorgehensweise anpassen, um physische Komponenten zu integrieren. Für Unternehmen bedeutet das, dass ein ganzheitlicher Ansatz – von der Netzwerk‑ bis zur Gebäudesicherheit – unumgänglich wird, um die wachsende Bedrohungslage zu bewältigen.

  • Krypto-Betrug 651 Millionen Dollar in April gestohlen – Wie raffinierte Angriffe die Branche erschüttern

    Krypto-Betrug 651 Millionen Dollar in April gestohlen – Wie raffinierte Angriffe die Branche erschüttern

    LGR Reutlingen – 05 Juni 2026 | Im April 2026 wurden laut Sicherheitsforschern unglaubliche 651 Millionen Dollar an Kryptowerten entwendet – ein Ergebnis des Krypto-Betrugs 651 Millionen Dollar in April gestohlen, das die Branche erneut alarmiert. In 29 dokumentierten Fällen nutzten Angreifer hochspezialisierte Techniken wie Address Poisoning, Clipboard Hijacking und KI‑gestützte Phishing‑Methoden, um Nutzer und Unternehmen in die Knie zu zwingen. Die Summe spiegelt nicht nur den finanziellen Schaden wider, sondern verdeutlicht auch, wie stark die Angriffsfläche von dezentralen Finanzsystemen erweitert wurde.

    Krypto-Betrug 651 Millionen Dollar in April gestohlen – Das Ausmaß der Angriffe

    Der Begriff Address Poisoning klingt harmlos, ist aber ein perfides Vorgehen, das auf einer psychologischen Schwäche der meisten Krypto‑Nutzer basiert: die Kopie von Zieladressen aus der eigenen Transaktionshistorie. Hacker generieren sogenannte Vanity‑Adressen, die sich in den ersten und letzten Zeichen mit einer legitimen Adresse decken. Durch das Senden von wertlosen Transaktionen an das Opfer wird die gefälschte Adresse in die Historie eingeschleust. Sobald der Nutzer später einen Betrag senden möchte und die Adresse aus dem Verlauf übernimmt, fließt das Geld unwiderruflich zum Angreifer.

    Ein besonders spektakulärer Fall ereignete sich, als ein Nutzer versehentlich fast 1,6 Millionen USDT an eine manipulierte Adresse transferierte. Die Konsequenz war nicht nur ein massiver Verlust für den Einzelnen, sondern auch ein eindringliches Signal an die gesamte Krypto‑Community, dass herkömmliche Sicherheitspraktiken nicht mehr ausreichen.

    Clipboard Hijacking – Malware, die im Hintergrund arbeitet

    Parallel zum Address Poisoning hat sich Clipboard Hijacking als ebenso gefährliche Methode etabliert. Schadsoftware wie das unter Linux verbreitete ClipXDaemon überwacht die Zwischenablage und ersetzt kopierte Krypto‑Adressen in Echtzeit durch die des Angreifers. Aktuelle Warnungen von Microsoft Threat Intelligence und weiteren Sicherheitsfirmen belegen, dass seit Anfang Juni 2026 eine neue Welle von Supply‑Chain‑Angriffen aktiv ist. In über 36 infizierten npm‑Paketen wird gezielt nach Zugangsdaten zu Wallet‑Anwendungen wie Exodus gesucht, während gleichzeitig SSH‑Keys und Cloud‑Identitäten ausgelesen werden.

    Die Miasma‑Kampagne, ein weiteres Beispiel für solche Angriffe, nutzt kompromittierte Pakete, um Cloud‑Tokens zu stehlen und damit weiterführende Zugriffe auf sensible Infrastrukturen zu ermöglichen. Die Kombination aus technischer Infiltration und sozialer Manipulation macht diese Angriffe besonders schwer zu erkennen.

    KI‑Tools als Köder – Die neue Dimension des Social Engineering

    Ein dritter Trend, der im April 2026 deutlich zutage trat, ist die Verwendung von KI‑gestützten Phishing‑Tools. In der sogenannten ClickFix‑Kampagne werden gefälschte Webseiten als vermeintliche Installer für KI‑Tools wie Claude Code oder OpenAI Codex präsentiert. Sobald ein Nutzer das vermeintliche Installationspaket herunterlädt, infiziert ein Trojaner das System, liest Browser‑Passwörter und Wallet‑Informationen aus und leitet sie an die Angreifer weiter.

    Zusätzlich hat das Phänomen des Quishing – Phishing per QR‑Code – einen sprunghaften Anstieg von 146 % im ersten Quartal 2026 verzeichnet. Betrüger nutzen legitime Plattformen wie Google AppSheet, um täuschend echte QR‑Codes zu generieren, die beim Scannen direkt zu gefälschten Anmelde- oder Zahlungsseiten führen.

    Wirtschaftliche und regulatorische Implikationen

    Die kumulierten Verluste durch Krypto‑Betrug haben laut Berichten des US‑Finanzministeriums für das Jahr 2025 bereits die Marke von 11 Milliarden US‑Dollar überschritten. Besonders verlustreich waren Romance‑Scams („Pig‑Butchering“), die rund 7 Milliarden US‑Dollar einbrachten. Im aktuellen Jahr setzen sich diese Trends fort; die WeedHack‑Kampagne hat seit Januar über 116 000 Systeme weltweit infiziert.

    Experten aus der Finanz‑ und IT‑Sicherheit raten dringend dazu, Transaktionsadressen niemals aus der Historie zu kopieren, sondern stets direkt aus einer verifizierten Quelle abzurufen und Zeichen für Zeichen auf einem unabhängigen Bildschirm zu prüfen. Der Einsatz von Hardware‑Wallets, die private Schlüssel offline speichern, gilt als einer der effektivsten Schutzmechanismen. Zudem bieten spezialisierte Dienste die Möglichkeit, Wallet‑Berechtigungen zu widerrufen und verdächtige Aktivitäten zu monitoren.

    Auf regulatorischer Ebene diskutieren Aufsichtsbehörden weltweit strengere Vorgaben für Krypto‑Dienstleister. In der EU wird das geplante „Digital Markets Act“ um spezifische Bestimmungen für digitale Assets ergänzt, um Transparenz und Verbraucher­schutz zu stärken. In den USA prüft die SEC neue Reporting‑Pflichten für dezentralisierte Börsen, die gezielte Angriffe besser nachverfolgen könnten.

    Ausblick – Wie können Nutzer und Unternehmen sich wappnen?

    Der Krypto‑Betrug 651 Millionen Dollar in April gestohlen verdeutlicht, dass technologische Innovationen und Sicherheitslücken Hand in Hand gehen. Für Endnutzer bedeutet das, das Bewusstsein für die eigenen digitalen Gewohnheiten zu schärfen: Keine Adressen aus der Historie übernehmen, stets die gesamte Adresse manuell prüfen und bei größeren Transaktionen eine zweite Bestätigung einholen. Unternehmen sollten automatisierte Monitoring‑Lösungen implementieren, die ungewöhnliche Transaktionsmuster erkennen und sofortige Alarmierungen ermöglichen.

    Ein weiterer Baustein ist die Ausbildung von Entwicklern und Sicherheits‑Teams im Umgang mit Supply‑Chain‑Risiken. Durch die Nutzung von Signatur‑Verifikations‑Tools für Open‑Source‑Pakete und regelmäßige Audits lassen sich Angriffsflächen reduzieren. Gleichzeitig sollten Nutzer von KI‑basierten Tools stets die Herkunft der Software prüfen und nur offizielle Distribution‑Kanäle nutzen.

    Schließlich bleibt die Frage, ob die Branche langfristig zu einem stabileren Ökosystem finden wird. Die wachsende Zahl von Angriffen zwingt sowohl Regulierer als auch Marktteilnehmer, neue Standards zu etablieren. Nur durch ein Zusammenspiel aus technischer Prävention, regulatorischer Klarheit und einem informierten Nutzerkreis kann das Vertrauen in digitale Finanzsysteme wiederhergestellt werden.

  • Quishing‑Anstieg: 18 Millionen Fälle im März 2026 registriert – Analyse der Bedrohungslage

    Quishing‑Anstieg: 18 Millionen Fälle im März 2026 registriert – Analyse der Bedrohungslage

    LGR Reutlingen – 05 Juni 2026 | Der Quishing-Anstieg 18 Millionen Flle im Mrz 2026 registriert verdeutlicht, dass Cyberkriminelle ihre Angriffsmethoden zunehmend diversifizieren und dabei insbesondere mobile Endgeräte und Messaging‑Plattformen ins Visier nehmen. Während klassische Phishing‑E‑Mails seit Jahren das Kernproblem der Cybersicherheit darstellen, zeigen aktuelle Zahlen, dass QR‑Code‑basiertes Phishing – das sogenannte Quishing – im ersten Quartal 2026 um rund 146 % zugenommen hat. Für Unternehmen und Privatnutzer bedeutet das ein neues Risikoprofil, das über reine Passwort‑Diebstähle hinausgeht.

    Im März 2026 wurden nach Angaben von Kaspersky und anderen Sicherheitsfirmen weltweit über 18 Millionen Quishing‑Fälle gemeldet. In Deutschland liegt der durchschnittliche Schaden pro Opfer bei rund 1.180 Euro, fast dem Doppelten des globalen Durchschnitts von 680 Euro. Die rasante Ausbreitung lässt sich nicht allein durch die wachsende Beliebtheit von QR‑Codes erklären, sondern auch durch die zunehmende Professionalisierung der Angreifer, die nun KI‑gestützte Tools einsetzen, um personalisierte Täuschungsnachrichten zu erzeugen.

    Quishing‑Anstieg 18 Millionen Flle im Mrz 2026 registriert – Zahlen, Trends und Ursachen

    Die Statistik von Kaspersky für das erste Quartal 2026 zeigt, dass allein im März mehr als 18 Millionen Quishing‑Fälle registriert wurden – ein Anstieg, der das Ausmaß der Bedrohung eindrucksvoll belegt. Die meisten Angriffe richten sich gegen Nutzer von Mobilgeräten, die über Messenger‑Dienste wie WhatsApp, Microsoft Teams oder LINE kommunizieren. Laut einer Studie von Proofpoint nutzen Angreifer legitime Cloud‑Dienste wie Google AppSheet oder Google Tasks, um die Sicherheitsfilter zu umgehen und so ihre gefälschten QR‑Codes zu verbreiten.

    Ein weiteres Merkmal ist die Geschwindigkeit, mit der die Angreifer handeln: In 44 % der untersuchten Fälle gelang es den Tätern, innerhalb von 30 Minuten nach dem ersten Kontakt Geld oder sensible Daten zu erbeuten. Die Kombination aus schnellen, automatisierten Angriffen und der Nutzung von KI‑Tools wie ChatGPT‑basierten Generatoren erhöht die Erfolgsquote signifikant.

    Die geografische Verteilung zeigt zudem, dass die chinesischsprachige Gruppe TA4922, bislang vornehmlich im ostasiatischen Raum aktiv, im Frühjahr 2026 ihre Operationen nach Europa ausgedehnt hat. Deutschland, Italien und das Vereinigte Königreich stehen im Fokus. Die Gruppe nutzt ein umfangreiches Malware‑Arsenal, darunter den Remote‑Access‑Trojaner Atlas RAT sowie Loader‑Programme wie RomulusLoader und SilentRunLoader, um Keylogging, Screenshots und den Zugriff auf Webcam und Mikrofon zu ermöglichen.

    Auswirkungen auf Unternehmen und Privatnutzer

    Für Unternehmen bedeutet der Quishing‑Anstieg nicht nur finanzielle Verluste, sondern auch erhebliche Reputationsrisiken. Besonders betroffen sind Firmen, die stark auf mobile Kommunikation und digitale Rechnungsstellung setzen. Ein einziger erfolgreicher Quishing‑Angriff kann den Zugriff auf interne Systeme ermöglichen und damit weitere Schadsoftware einschleusen.

    Im deutschen Mittelstand hat das Oberlandesgericht Koblenz bereits ein wegweisendes Urteil gefällt: Ein Kunde erhielt eine unautorisierte Echtzeit‑Überweisung über 56.000 Euro, weil die Bank keine ausreichenden Sicherheitsmechanismen implementiert hatte. Das Gericht wies die Bank an, den Betrag vollständig zu erstatten, und betonte, dass die Verantwortung für die Sicherung von Freischaltcodes nicht ausschließlich beim Kunden liege.

    Für Privatnutzer steigt das Risiko vor allem beim Gebrauch von QR‑Codes in öffentlichen Verkehrsmitteln, bei Zahlungsapps und beim Einchecken in Hotels. Ein falscher QR‑Code kann das Gerät sofort mit Schadcode infizieren, der im Arbeitsspeicher aktiv wird, ohne dass ein Download erforderlich ist. Solche „ClickFix“-Kampagnen tarnen sich als Installationshilfen für KI‑Tools wie Claude Code oder OpenAI Codex und verleiten Nutzer, gefährliche Befehle auszuführen.

    Reaktionen der Technologie‑ und Rechtsbranche

    Technologiekonzerne reagieren auf die zunehmende Professionalisierung der Angriffe mit neuen Schutzmechanismen. Google hat Anfang Juni eine Echtzeit‑Verifizierung für die Telefon‑App auf Pixel‑Geräten eingeführt, die betrügerische Anrufe automatisch erkennt und blockiert. Microsoft plant, die SMS‑Authentifizierung für Privatkonten einzustellen, da sie als Angriffsziel für Quishing‑Kampagnen gilt.

    Auf regulatorischer Ebene wird die Debatte über strengere Vorgaben für die Sicherheit von Mobilgeräten intensiver. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat empfohlen, dass Unternehmen automatische Updates aktivieren und einheitliche Sicherheitsrichtlinien für alle mobilen Endgeräte implementieren.

    Die US‑Justiz hat zudem die Phishing‑as‑a‑Service‑Plattform Kali365 ins Visier genommen, die seit 2025 nach Angaben des FBI Schäden von über 240 Millionen Euro verursacht hat. Die Plattform bietet Crime‑as‑a‑Service‑Pakete an, die es auch technisch weniger versierten Akteuren ermöglichen, hochentwickelte Quishing‑Kampagnen zu starten.

    Praktische Schutzmaßnahmen für Endnutzer

    • Aktivieren Sie automatische System‑ und App‑Updates, um bekannte Schwachstellen zu schließen.
    • Verwenden Sie eine Mobile‑Security‑App, die QR‑Codes in Echtzeit analysiert.
    • Setzen Sie auf Zwei‑Faktor‑Authentifizierung (2FA) mit Hardware‑Tokens statt SMS‑Codes.
    • Schulen Sie sich und Ihre Mitarbeitenden im Erkennen von verdächtigen QR‑Codes und gefälschten Nachrichten.
    • Nutzen Sie Passwort‑Manager, die Phishing‑Erkennung integriert haben.

    Ein kostenloser PDF‑Ratgeber, der von mehreren Sicherheitsfirmen gemeinsam herausgegeben wurde, beschreibt fünf einfache Schritte, um Android‑Smartphones innerhalb weniger Minuten gegen Hacker und Viren zu schützen. Der Ratgeber empfiehlt unter anderem das Deaktivieren von „Unbekannte Quellen“ für App‑Installationen und das regelmäßige Prüfen von App‑Berechtigungen.

    Ausblick: Wie wird sich Quishing weiterentwickeln?

    Analysten gehen davon aus, dass Quishing‑Angriffe weiter an Komplexität gewinnen werden. Durch die Kombination von KI‑gestützten Social‑Engineering‑Techniken und immer raffinierteren Malware‑Loadern könnten Angreifer künftig in der Lage sein, komplette Unternehmensnetzwerke über einen einzigen QR‑Code zu kompromittieren. Die Grenze zwischen Phishing, Quishing und sogar Ransomware wird zunehmend verschwimmen.

    Für die Sicherheitsbranche bedeutet das, dass traditionelle E‑Mail‑Filter allein nicht mehr ausreichen. Echtzeit‑Analyse von QR‑Codes, verhaltensbasierte Erkennung von Anomalien und stärkere Integration von KI‑gestützten Verteidigungssystemen werden zum Standard. Unternehmen, die proaktiv in solche Technologien investieren, werden besser positioniert sein, um den wachsenden Bedrohungen zu begegnen.

    Der Quishing‑Anstieg 18 Millionen Flle im Mrz 2026 registriert ist damit ein warnendes Signal: Die digitale Infrastruktur muss schneller und intelligenter gesichert werden, bevor die Angreifer noch breiter Fuß fassen. Die Verantwortung liegt gleichermaßen bei Technologie‑Providern, Gesetzgebern und jedem einzelnen Nutzer, der seine Geräte konsequent schützt.

  • NFC‑Banking‑Angriffe auf Android: 188 % Anstieg wirft Sicherheitslücken offen

    NFC‑Banking‑Angriffe auf Android: 188 % Anstieg wirft Sicherheitslücken offen

    LGR Reutlingen – 02 Juni 2026 | Die aktuelle Meldung, dass NFCBanking-Angriffe Android-Attacken um 188 gestiegen sind, lässt sowohl Sicherheitsexperten als auch Verbraucher alarmiert zurück. Laut den neuesten Zahlen von Kaspersky wurden im Zeitraum von Januar bis April 2026 rund 35.600 Versuche blockiert – ein Anstieg, der das vergangene Jahr bei etwa 12.300 Angriffen weit hinter sich lässt.

    Der Boom lässt sich nicht allein auf ein einzelnes Malware‑Modul zurückführen. Vielmehr kombiniert ein heterogenes Ökosystem aus Relay‑Angriffen, manipulierten NFC‑Modulen und automatisierten Abonnement‑Fallen, um über die Mobilfunkrechnung Geld von den Opfern zu siphonieren. Die Angriffe zielen gezielt auf Android‑Geräte, weil das Betriebssystem dank seiner Offenheit und der weiten Verbreitung ein attraktives Einfallstor darstellt.

    NFC-Banking-Angriffe Android-Attacken um 188 gestiegen – Was steckt hinter den Zahlen?

    Der Begriff NFC-Banking-Angriffe fasst verschiedene Techniken zusammen, bei denen das Near‑Field‑Communication‑Interface (NFC) als Brücke zwischen dem Smartphone und den Bankdiensten missbraucht wird. Während früher vor allem klassische Phishing‑Methoden dominierten, nutzen Kriminelle heute das NFC‑Modul, um PINs direkt auszulesen oder Transaktionen über sogenannte Relay‑Server weiterzuleiten.

    Ein besonders perfider Ansatz ist das Abschalten des WLANs und das Erzwingen einer Datenübertragung über das Mobilfunknetz. Dadurch können Angreifer die Carrier‑Billing‑Systeme ausnutzen und kostenpflichtige Premium‑Dienste über die Handyrechnung aktivieren, ohne dass der Nutzer aktiv zustimmt. Die Malware greift dabei häufig auf Einmal‑Passwörter (OTPs) zu, die per SMS gesendet werden, und bestätigt so die Zahlung automatisch.

    Verbreitete Schadsoftware‑Familien

    Zu den bekanntesten Malware‑Familien, die im Rahmen dieser Angriffe aktiv sind, gehören SuperCard X, PhantomCard und NGate. Jede Variante hat ihre eigenen Besonderheiten:

    • SuperCard X nutzt eine Kombination aus NFC‑Relay und Key‑Logging, um sowohl Kartendaten als auch Eingaben in Banking‑Apps zu erfassen.
    • PhantomCard setzt auf eine verzögerte Aktivierung, um Sicherheits‑ und Antiviren‑Tools zu umgehen. Erst nach einer definierten Wartezeit wird die eigentliche Payload ausgelöst.
    • NGate ist besonders aggressiv: Sie stiehlt nicht nur OTPs, sondern leitet zudem gesammelte Gerätedaten über verschlüsselte Telegram‑Kanäle an die Angreifer weiter.

    Die meisten dieser Varianten tarnen sich als beliebte Apps – von TikTok über Minecraft bis hin zum Facebook Messenger. Sobald ein Nutzer die manipulierte Anwendung installiert, wird im Hintergrund eine Kette automatisierter Schritte eingeleitet, die zu ungewollten Abbuchungen führen.

    Ein weiterer Trend ist die Nutzung von Accessibility‑Services, wie sie vom Trojaner OverlayPhantom ausgenutzt werden. Der Trojaner legt gefälschte Eingabemasken über legitime Banking‑ und Krypto‑Apps, sodass Nutzer unwissentlich ihre Zugangsdaten preisgeben.

    Regionale Unterschiede zeigen, dass nicht nur Europa, sondern auch Brasilien und Russland von eigenständigen Malware‑Varianten betroffen sind. In Brasilien verbreiten Hacker gefälschte Google‑Play‑Seiten, um Krypto‑Miner‑Programme zu installieren, während der russische Trojaner ClayRat als WhatsApp‑ oder Google‑Photos‑App getarnt, Anruflisten und SMS ausliest.

    Die Konsequenzen reichen von finanziellen Verlusten bis hin zu langfristigen Identitätsdiebstählen. Für Unternehmen im FinTech‑Sektor bedeutet dies ein erhöhtes Risiko von Reputationsschäden und regulatorischen Sanktionen, wenn Kundendaten kompromittiert werden.

    Reaktionen von Behörden und Industrie

    Die internationale Zusammenarbeit hat bereits erste Erfolge erzielt. Am 28. Mai 2026 zerschlugen die niederländische Polizei und das National Cyber Security Centre (NCSC) ein Botnetz mit 17 Millionen infizierten Geräten, das unter anderem für Phishing‑ und DDoS‑Angriffe genutzt wurde. Durch die Beschlagnahmung von 200 Servern in den Niederlanden konnte ein erheblicher Teil der Infrastruktur deaktiviert werden.

    Gleichzeitig arbeiten Mobilfunkanbieter an strengeren Carrier‑Billing‑Kontrollen. Einige Unternehmen führen jetzt mehrstufige Authentifizierungsprozesse ein, bei denen der Nutzer per App‑Bestätigung zusätzlich zum OTP seine Zustimmung geben muss.

    Auf Seiten der Hersteller liegt der Fokus auf sichereren NFC‑Stacks. Google hat bereits angekündigt, die NFC‑API in kommenden Android‑Versionen zu härten und Entwickler zu verpflichten, explizite Berechtigungen für den Zugriff auf das NFC‑Modul zu deklarieren.

    Praktische Schutzmaßnahmen für Endnutzer

    Für Verbraucher gelten nach wie vor bewährte Grundregeln:

    1. Nur Apps aus dem offiziellen Google‑Play‑Store installieren und die Entwicklerinformationen prüfen.
    2. Regelmäßig das Betriebssystem und installierte Anwendungen aktualisieren – veraltete Versionen sind ein beliebtes Einfallstor.
    3. NFC bei Nichtgebrauch deaktivieren; viele Smartphones ermöglichen das Abschalten im Schnellmenü.
    4. Carrier‑Billing‑Abonnements im Nutzerkonto des Mobilfunkanbieters prüfen und nicht autorisierte Services sofort kündigen.
    5. Für Banking‑Transaktionen die Nutzung von Hardware‑Token oder Biometrie aktivieren, um OTP‑Abfangversuche zu vereiteln.

    Unternehmen sollten zudem ein Zero‑Trust‑Modell für mobile Endpunkte einführen und regelmäßige Pen‑Tests durchführen, um potenzielle Schwachstellen im NFC‑Workflow zu identifizieren.

    Die Zahlen zeigen eindeutig, dass NFC-Banking-Angriffe Android-Attacken um 188 gestiegen sind – ein Trend, der nicht nur die technische Community, sondern auch Gesetzgeber und Verbraucher gleichermaßen herausfordert. Angesichts der zunehmenden Verknüpfung von Mobilfunk‑ und Banking‑Infrastruktur wird die Notwendigkeit von ganzheitlichen Sicherheitsstrategien weiter steigen.

  • Messenger-Betrug: Deutsche verlieren im Schnitt 1.180 Euro pro Vorfall – Analyse der wachsenden Gefahr

    Messenger-Betrug: Deutsche verlieren im Schnitt 1.180 Euro pro Vorfall – Analyse der wachsenden Gefahr

    LGR Reutlingen – 02 Juni 2026 | Der jüngste Bericht von Kaspersky lässt keinen Zweifel: Messenger-Betrug Deutsche verlieren 1.180 Euro pro Vorfall ist nicht mehr das Ausnahmephänomen, sondern ein neuer Normalzustand im deutschen Cybercrime-Umfeld. Während Banken und Strafverfolgungsbehörden vermehrt Erfolge bei der Aufklärung klassischer Bankbetrugsfälle melden, zeigen aktuelle Zahlen, dass Kriminelle ihre Angriffe zunehmend auf Messaging‑Apps verlagern und dabei durchschnittlich rund 1.180 Euro aus den Taschen der Betroffenen pumpen.

    Messenger-Betrug Deutsche verlieren 1.180 Euro pro Vorfall – aktuelle Zahlen

    Die Kaspersky‑Studie, die im Mai 2026 veröffentlicht wurde, basiert auf mehr als 12.000 gemeldeten Vorfällen aus ganz Deutschland. Der durchschnittliche Verlust pro Opfer liegt damit fast doppelt so hoch wie der globale Schnitt von 630 Euro. Besonders alarmierend: 44 % der Betroffenen geben bereits innerhalb von 30 Minuten nach dem Erstkontakt Geld oder sensible Daten preis. Diese Geschwindigkeit ist ein klares Indiz dafür, dass die Angreifer ihre Methoden automatisiert und hochgradig personalisiert einsetzen.

    Der technische Kern der Angriffe besteht meist aus sogenannten OAuth‑Token‑Hijacks. Über den sogenannten „Authorization Code Flow“ kapern die Täter Zugriffstoken, die normalerweise nur für die Dauer einer Session gelten. Selbst Mehr‑Faktor‑Authentisierung (MFA) wird dabei häufig umgangen, weil die gestohlenen Tokens bereits als vertrauenswürdig gelten. Der FBI‑Warnhinweis auf die Plattform „Kali365“, die seit April 2026 Phishing‑as‑a‑Service (PhaaS) für Microsoft‑365‑Umgebungen anbietet, verdeutlicht, wie schnell die Infrastruktur für solche Angriffe professionalisiert wird.

    Modus operandi: Wie die Täter vorgehen

    Im Kern folgt der Ablauf einem einfachen Prinzip: Der Angreifer kontaktiert das Opfer über einen populären Messenger – häufig WhatsApp, Telegram oder Signal – und gibt sich als Bankmitarbeiter, Kundendienstmitarbeiter oder sogar als Bekannter aus. Oft wird ein dringender Handlungsbedarf suggeriert, etwa ein angeblicher Betrugsversuch auf dem Konto. Das Opfer soll dann einen Link anklicken, der zu einer täuschend echten Anmeldeseite führt. Dort werden die Zugangsdaten, häufig kombiniert mit einem einmaligen Code aus einer SMS, eingegeben. Im Hintergrund wird das Konto sofort ausgehändigt, sodass die Täter innerhalb weniger Minuten Geld überweisen oder Karteninformationen auslesen können.

    Die schnelle Reaktionszeit von 30 Minuten lässt vermuten, dass die Täter bereits vorab automatisierte Skripte bereit haben, die sofort nach Eingabe der Daten aktiv werden. In vielen Fällen werden die entwendeten Daten an sogenannte „Cash‑Out‑Partner“ weiterverkauft, die das Geld in Kryptowährungen umwandeln oder über ausländische Prepaid‑Karten abheben.

    Fallbeispiele aus Deutschland

    Die Polizei in Unterfranken konnte am 28. Mai drei mutmaßliche Täter im Alter von 19, 21 und 23 Jahren festnehmen. Sie hatten sich in Lauda‑Königshofen und Bad Mergentheim als Bankangestellte ausgegeben, um EC‑Karten zu stehlen. Videoaufnahmen an Geldautomaten ermöglichten die Identifizierung. Laut Ermittlern konnten die Täter mit den gestohlenen Karten rund 2.000 Euro abheben und mehrere Einkaufsvorgänge durchführen.

    Nur einen Tag später meldete die Staatsanwaltschaft in Kassel‑Wolfsanger einen Vorfall, bei dem ein 25‑jähriger Mann sich telefonisch als Bankmitarbeiter ausgab und einer älteren Dame die Bankkarte samt PIN entlockte. Der Täter flüchtete in einem blauen Kleinwagen, bevor die Behörden eingreifen konnten. Diese beiden Fälle illustrieren, dass die klassische „Bankmitarbeiter‑Maske“ nach wie vor ein effektives Werkzeug ist – insbesondere, wenn sie mit modernen Messaging‑Kanälen kombiniert wird.

    KI‑gestützte Angriffe auf dem Vormarsch

    Ein weiteres beunruhigendes Signal stammt von CrowdStrike, das im Jahresvergleich einen Anstieg KI‑gestützter Angriffe um 89 % verzeichnete. Künstliche Intelligenz ermöglicht es den Angreifern, personalisierte Phishing‑Nachrichten in Echtzeit zu generieren, die auf den sozialen Medienprofilen der Opfer basieren. So entstehen Nachrichten, die exakt den Schreibstil, die Interessen und sogar die aktuelle Lebenssituation des Empfängers nachahmen – ein Faktor, der die Erfolgsquote erheblich steigert.

    Die Kombination aus KI‑Generierung von Inhalten und automatisierter Token‑Manipulation schafft ein Ökosystem, in dem ein einziger Angreifer potenziell Tausende von Opfern gleichzeitig attackieren kann. Die Folgen für die Verbraucher­­schutz‑ und Finanz­‑Sicherheits­­landschaft sind gravierend, weil herkömmliche Präventionsmaßnahmen, die auf statische Signaturen setzen, kaum noch mithalten können.

    Auswirkungen auf Verbraucher und Wirtschaft

    Die finanziellen Verluste sind nicht nur für einzelne Bürger spürbar. Kleine und mittlere Unternehmen, die auf Online‑Zahlungen und digitale Buchhaltung setzen, sehen sich ebenfalls mit erhöhten Risiken konfrontiert. Ein einziger erfolgreicher Angriff kann nicht nur Geld kosten, sondern auch das Vertrauen von Kunden und Partnern nachhaltig erschüttern. Laut einer Umfrage des BSI (Bundesamt für Sicherheit in der Informationstechnik) haben 27 % der befragten Unternehmen bereits Geldverlust durch Messenger‑Betrug erlitten, wobei die durchschnittliche Schadenshöhe bei rund 4.500 Euro lag.

    Für die Gesundheitsbranche, die zunehmend digitale Patientenportale nutzt, bedeutet das zusätzliche Gefahr: Angreifer nutzen schwache Passwörter und Phishing‑Mails, um an sensible Patientendaten zu gelangen. Ransomware‑Fälle im Gesundheitswesen stiegen 2025 um zehn Prozent, wobei die Zahlungsbereitschaft der betroffenen Einrichtungen auf sieben Prozent sank – ein Hinweis darauf, dass Unternehmen eher versuchen, die Vorfälle zu verbergen als zu zahlen.

    Fünf sofort umsetzbare Schutzmaßnahmen

    IT‑Sicherheitsexperten raten zu einem pragmatischen Maßnahmenkatalog, der insbesondere für Android‑Smartphones geeignet ist:

    • Aktualisieren Sie das Betriebssystem und alle Apps regelmäßig, um bekannte Sicherheitslücken zu schließen.
    • Aktivieren Sie die Mehr‑Faktor‑Authentisierung (MFA) für alle Online‑Bankkonten und geschäftlichen Dienste.
    • Verifizieren Sie jede Kontaktaufnahme, die angeblich von einer Bank stammt, über die offizielle Telefonnummer – nicht über im Messenger bereitgestellte Links.
    • Installieren Sie eine Mobile‑Security‑Lösung, die Echtzeit‑Erkennung von Phishing‑Links bietet.
    • Nutzen Sie Passwort‑Manager, um starke, einzigartige Passwörter für jede Anwendung zu erzeugen und zu speichern.

    Die Umsetzung dieser Maßnahmen kann das Risiko, Opfer eines Messenger‑Betrugs zu werden, signifikant reduzieren. Gleichzeitig sollten Banken verstärkt Aufklärungs‑Kampagnen starten, um das Bewusstsein für die neue Betrugswelle zu schärfen.

    Regulatorische Reaktionen und Ausblick

    Auf europäischer Ebene arbeitet die Europäische Kommission an einer Überarbeitung der Richtlinie zur Netz‑ und Informationssicherheit (NIS‑2), die künftig strengere Vorgaben für die Meldung von Cybervorfällen enthält. In Deutschland hat das BSI bereits ein neues Warnsystem eingeführt, das Banken und Zahlungsdienstleistern erlaubt, verdächtige Aktivitäten in Echtzeit zu teilen.

    Dennoch bleibt die Herausforderung, dass Kriminelle ihre Methoden schneller anpassen, als Regulierungen und technische Gegenmaßnahmen nachziehen können. Die Kombination aus automatisierten Phishing‑Plattformen, KI‑gestützter Personalisierung und ausgefeilten Token‑Hijacks wird voraussichtlich weiter an Bedeutung gewinnen. Für Verbraucher bedeutet das, wachsam zu bleiben und die empfohlenen Schutzmaßnahmen konsequent umzusetzen – sonst riskieren sie, Teil der alarmierenden Statistik zu werden, bei der Messenger‑Betrug Deutsche verlieren 1.180 Euro pro Vorfall ist.

  • WhatsApp-Betrug: Deutsche verlieren im Schnitt 1.180 Euro – Warum die Gefahr wächst

    WhatsApp-Betrug: Deutsche verlieren im Schnitt 1.180 Euro – Warum die Gefahr wächst

    LGR CMS – 02 Juni 2026 | WhatsAppBetrug Deutsche verlieren 1.180 Euro im Schnitt – das ist das Ergebnis einer aktuellen Kaspersky-Studie und ein eindeutiges Signal, dass die Schadenshöhe bei Messenger‑Betrug in Deutschland stark ansteigt. Während der weltweite Durchschnitt bei etwa 650 Euro liegt, zeigen die Zahlen, dass deutsche Nutzerinnen und Nutzer doppelt so viel verlieren. Die Ursachen sind vielschichtig: immer professionellere Vorgehensweisen, der Einsatz von KI‑Tools und ein spürbares Defizit beim Basisschutz von Smartphones.

    WhatsApp-Betrug Deutsche verlieren 1.180 Euro im Schnitt – Zahlen und Hintergründe

    Die Analyse von Kaspersky beruht auf tausenden gemeldeten Fällen, die im Zeitraum 2024‑2025 erfasst wurden. In knapp der Hälfte aller Vorfälle fließt das Geld bereits innerhalb von 30 Minuten nach dem Erstkontakt. Die Angreifer nutzen dabei nicht nur WhatsApp, sondern kombinieren Messenger‑Plattformen mit SMS und sogar Facebook, um ihre Opfer zu erreichen. Durch das Verschmelzen verschiedener Kanäle entsteht ein glaubwürdiges Kommunikationsgerüst, das es den Tätern ermöglicht, Vertrauen aufzubauen, bevor sie zur Auszahlung drängen.

    Ein besonders besorgniserregender Trend ist der Einsatz von Künstlicher Intelligenz. Laut CrowdStrike stieg die Anzahl KI‑gestützter Angriffe im Jahresvergleich um 89 Prozent. Sprachmodelle wie ChatGPT werden genutzt, um personalisierte Phishing‑Nachrichten zu erzeugen, die kaum von echten Unterhaltungen zu unterscheiden sind. Die Täter analysieren dabei öffentlich verfügbare Daten aus sozialen Netzwerken und passen ihre Botschaften exakt an die Interessen und das berufliche Umfeld des Opfers an.

    Wie funktionieren KI‑gestützte Betrugsmaschen?

    • Datenaggregation: Öffentliche Profile, Likes und Kommentare werden gesammelt.
    • Textgenerierung: Ein KI‑Modell erstellt Nachrichten, die den Schreibstil des Bekannten imitieren.
    • Timing: Die Bots senden zur Hauptaktivitätszeit des Opfers, um maximale Aufmerksamkeit zu erzielen.
    • Call‑to‑Action: Oft wird ein Link zu einer gefälschten Zahlungsseite oder ein direkter Zahlungsauftrag über WhatsApp gesendet.

    Die Kombination aus hoher Personalisierung und schneller Ausführung macht es für den durchschnittlichen Nutzer schwierig, den Betrug rechtzeitig zu erkennen. Die finanziellen Folgen reichen von kleinen Beträgen bis hin zu hohen Summen, die bei Anlage‑ oder Love‑Scamming-Fällen verloren gehen.

    Ein besonders gravierender Fall aus Mannheim verdeutlicht das Ausmaß: Ein 60‑jähriger Mann investierte nach einer vermeintlichen Registrierung auf einer betrügerischen Plattform rund 900 000 Euro in eine angebliche Geldanlage, die von gefälschten Finanzberatern verwaltet wurde. In Greifswald verlor eine 74‑jährige Frau innerhalb von 18 Monaten insgesamt 226 000 Euro an einen Online‑Liebesbetrüger. Die Polizei Mecklenburg‑Vorpommern schätzt den Gesamtschaden durch solche Maschen im Jahr 2025 auf rund 6,5 Millionen Euro – ein Anstieg gegenüber dem Vorjahr.

    Die Ermittler raten, bereits beim ersten Anzeichen einer Geldforderung, die noch nicht mit einem persönlichen Treffen einhergeht, den Kontakt sofort abzubrechen und den Vorfall zu melden. Dennoch bleiben viele Opfer unsicher, welche Schritte sie konkret einleiten sollten.

    Prävention und technischer Schutz: Was Nutzer tun können

    Der Basis‑Schutz für Smartphones bleibt ein unverzichtbarer Baustein. Kaspersky und das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehlen fünf einfache Maßnahmen, die jeder Android‑Nutzer ohne Kosten umsetzen kann:

    1. Regelmäßige Updates des Betriebssystems und installierter Apps.
    2. Verwendung eines starken, einzigartigen Passworts oder besser: eines Passkeys.
    3. Aktivierung von Zwei‑Faktor‑Authentisierung (2FA) für alle wichtigen Konten.
    4. Installation einer vertrauenswürdigen Sicherheits‑App, die Echtzeit‑Scans und App‑Prüfungen bietet.
    5. Vorsicht bei unbekannten Links und Anhängen – bei Unsicherheit lieber direkt beim Absender nachfragen.

    Eine weitere Entwicklung ist die zunehmende Nutzung von Passkey‑Technologie, die Passwörter ablöst. Laut YouGov setzen bislang nur 32 Prozent der Deutschen auf Passkeys. Unternehmen wie Amazon, WhatsApp und diverse Banken bieten diese Methode bereits an, doch die Akzeptanz bleibt hinter dem Potential zurück.

    Für Unternehmen, die Kundendaten verarbeiten, ist die Implementierung von Multi‑Factor‑Authentisierung und die regelmäßige Überprüfung von Zugriffsrechten entscheidend. Der Anstieg von NFC‑Angriffen um 188 Prozent, wie Kaspersky berichtet, zeigt, dass selbst kontaktlose Bezahlsysteme nicht automatisch sicher sind.

    Im Bereich der Ransomware hat das Bundeskriminalamt 2025 einen Anstieg um 10 Prozent verzeichnet, wobei die Zahlungsbereitschaft der Opfer auf nur 7 Prozent sank. Das bedeutet, dass Angreifer vermehrt auf Datenexfiltration und Erpressung setzen, anstatt Lösegeld zu fordern. Der Fall der Gruppe „Kairos“, die im Mai 2026 Patientendaten eines niedersächsischen Vereins im Darknet veröffentlicht hat, verdeutlicht, dass nicht nur Finanzdaten, sondern auch Gesundheitsinformationen Ziel von Cyberkriminellen sind.

    Ausblick: Wie wird sich die Bedrohungslage entwickeln?

    Die Dynamik der Angriffe lässt vermuten, dass KI‑gestützte Betrugsmaschen weiter an Raffinesse gewinnen werden. Während die Technologie für legitime Anwendungen immer weiter verbreitet wird, öffnen sich gleichzeitig neue Angriffsflächen für Kriminelle. Die Branche muss daher nicht nur auf technische Gegenmaßnahmen setzen, sondern auch auf Aufklärung und ein stärkeres Bewusstsein bei den Endanwendern.

    Experten betonen, dass die Verantwortung nicht allein bei den Nutzern liegt. Plattformen wie Meta, WhatsApp und Google stehen in der Kritik, schneller auf verdächtige Aktivitäten zu reagieren und strengere Verifizierungsprozesse einzuführen. Gleichzeitig fordern Aufsichtsbehörden klarere Regelungen für KI‑generierte Inhalte, um eine rechtliche Grundlage für die Verfolgung von Betrug zu schaffen.

    Der Trend zu immer professionelleren Betrugsnetzwerken macht deutlich, dass die Schadenshöhe bei WhatsApp‑Betrug in Deutschland weiter steigen könnte, wenn keine wirksamen Gegenmaßnahmen ergriffen werden. Für Betroffene bedeutet das: Vigilanz, schnelle Reaktion und die Nutzung moderner Sicherheits‑Tools sind heute wichtiger denn je.