Smishing und Quishing: Mobile Cyberkriminalität erreicht neue Dimension

Das sind vier Prozentpunkte mehr als im Vorjahr. Für 2026 prognostizieren Experten weltweite Schäden durch mobile Cyberkriminalität von rund 21 Milliarden Euro.

Besonders perfide Methoden wie Smishing, Quishing und KI-gestütztes Spoofing treiben die Zahlen in die Höhe. Google und Apple reagieren mit tiefgreifenden Sicherheitsupdates.

Angesichts der rasant steigenden Zahl von Betrugsfällen ist ein Basisschutz für das Smartphone unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät wirksam gegen Hacker und Viren absichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt kostenlos entdecken

Smishing und Quishing: Die neuen Lieblingswerkzeuge der Kriminellen

Die klassische Betrugs-SMS hat sich zum hochkomplexen Werkzeug entwickelt. Ein aktuelles Beispiel: Moderatorin Amira Aly wurde Ziel eines Spoofing-Angriffs. Eine gefälschte Kurznachricht eines Kreditkartenanbieters erschien direkt im legitimen Chatverlauf auf ihrem Smartphone. Die Nachricht meldete einen angeblichen Überweisungsversuch über 9.500 Euro an ein Kryptounternehmen. Das Opfer rief die angegebene Nummer an und gab sensible Daten preis.

Noch schneller wächst das Quishing – Betrug mit gefälschten QR-Codes. Im ersten Quartal 2026 registrierten Sicherheitsforscher 18,7 Millionen Fälle. Ein Zuwachs von 146 Prozent. Die Täter locken Nutzer auf gefälschte Login-Seiten oder verbreiten Schadsoftware.

Auch WhatsApp bleibt im Visier: In Grafenau überwies eine 59-Jährige knapp 1.700 Euro. Sie war auf die Nachricht „Mama, ich habe eine neue Nummer“ hereingefallen.

TrickMo und TCLBanker: Hochspezialisierte Schadsoftware im Umlauf

Sicherheitsanalysten identifizierten eine neue Variante des Banking-Trojaners TrickMo. Die Malware tarnt sich als populäre Streaming- oder Social-Media-App. Sie nutzt das verschlüsselte TON-Netzwerk für die Kommunikation mit den Angreifern.

Zu den Funktionen gehören Keylogging, das Abfangen von Einmalpasswörtern und die Aufzeichnung von Bildschirminhalten. Damit ist die vollständige Übernahme von Bankkonen möglich. Betroffen sind vor allem Nutzer in Österreich, Frankreich und Italien.

Allein durch Spoofing-Anrufe entstehen jährlich globale Verluste von etwa 980 Millionen US-Dollar.

Google setzt auf KI: „Live Threat Detection“ für Android 17

Mitte Mai 2026 stellte Google auf seiner Entwicklerkonferenz weitreichende Sicherheitsfunktionen vor. Der Dienst „Verified Financial Calls“ verifiziert eingehende Bankanrufe in Kooperation mit Finanzdienstleistern wie Revolut, Nubank und Itaú Unibanco.

Für Android 17 plant Google eine KI-basierte „Live Threat Detection“. Das System analysiert das Verhalten von Apps in Echtzeit und erkennt Anomalien, die auf Banking-Trojaner oder Spyware hindeuten.

OTP-Benachrichtigungen lassen sich künftig für drei Stunden ausblenden. Das verhindert, dass Schadsoftware die Codes unmittelbar nach dem Empfang ausliest. Zudem können Nutzer die veraltete und unsichere 2G-Verbindung komplett abschalten – eine häufige Einfallspforte für Man-in-the-Middle-Angriffe.

Apple schließt 50 Sicherheitslücken mit iOS 26.5

Apple hat ebenfalls reagiert. Das Update auf iOS 26.5 schließt mehr als 50 Sicherheitslücken. Darunter eine kritische Schwachstelle im Kernel (CVE-2026-28951), die Angreifern potenziell Root-Rechte verschaffte.

Parallel dazu stärkte Apple die Ende-zu-Ende-Verschlüsselung für den Nachrichtenstandard RCS. Branchenkenner werten diese Schritte als notwendige Reaktion auf aggressive Malware-Kampagnen wie „CallPhantom“. Dabei wurden 28 infizierte Apps insgesamt 7,3 Millionen Mal aus offiziellen Quellen heruntergeladen.

Viele iPhone-Nutzer übersehen nach einem Update wichtige Einstellungen, die ihre Privatsphäre zusätzlich schützen können. Apple-Experte Detlef Meyer erklärt in diesem Gratis-Leitfaden Schritt für Schritt, wie Sie Ihr iOS-Gerät stressfrei auf dem neuesten Stand halten. Kostenlosen iOS-Update-Ratgeber hier herunterladen

Gerichte stärken Verbraucher: Banken haften bei Phishing

Die Zunahme der Betrugsfälle führt zu rechtlichen Auseinandersetzungen über die Haftung. Ein Urteil des Landgerichts Berlin II stärkt die Position der Verbraucher. Im Fall gegen die Apobank – Schaden über 200.000 Euro – stellten die Richter fest: Banken haften grundsätzlich für Schäden durch Phishing, sofern dem Kunden keine grobe Fahrlässigkeit nachzuweisen ist.

Trotz dieser verbraucherfreundlichen Rechtsprechung warnen Geldinstitute wie die Zuger Kantonalbank eindringlich: Banken fordern niemals proaktiv Passwörter oder Zugangsdaten an.

Ein Fall aus Bielefeld zeigt, wie schnell es gehen kann: Eine 25-Jährige entging nur knapp einem finanziellen Verlust. Ein falscher Mitarbeiter eines Online-Zahlungssystems forderte sie auf, eine Fernwartungs-App zu installieren und ihr Einzahlungslimit auf 4.999 Euro zu erhöhen.

In Brasilien wurde einem Rentner-Paar in São Paulo das Smartphone geraubt. Die Täter erbeuteten innerhalb von 36 Minuten durch 14 Überweisungen 30.000 Euro. Sie umgingen bestehende Überweisungslimits. Der Vorfall alarmierte die portugiesische Zentralbank.

Die psychologische Komponente: Social Engineering als Trumpf der Täter

Die Wirksamkeit moderner Betrugsmaschen beruht weniger auf technischer Überlegenheit als auf psychologischer Manipulation. Die „Ja“-Masche am Telefon nutzt einfache Gesprächssituationen aus. Verbraucherzentralen warnen aktuell davor.

Experten raten: Bei unbekannten Anrufern mit einem neutralen „Hallo“ melden. Fragen stets in vollständigen Sätzen beantworten. So liefern Sie keine isolierten Bestätigungen für fingierte Verträge.

Auch Love-Scamming bleibt lukrativ. In Merseburg verlor eine 71-Jährige rund 100.000 Euro an einen unbekannten Täter, zu dem sie eine vermeintliche Online-Beziehung aufgebaut hatte. Der Betrug flog auf, als eine Bankmitarbeiterin misstrauisch wurde. Die Seniorin versuchte, 25.000 Euro in bar abzuheben.

Ausblick: Wettrüsten zwischen Kriminellen und Sicherheitsentwicklern

Für den weiteren Verlauf des Jahres 2026 ist mit einer Fortsetzung des Wettrüstens zu rechnen. Die Integration von Künstlicher Intelligenz in Betriebssysteme markiert einen Wendepunkt. Google treibt dies mit dem „Gemini“-System für Android 17 voran.

Sicherheitsfeatures wie der „Theft Detection Lock“ oder der „Intrusion Logging“-Modus für Hochrisiko-Nutzer zeigen: Der Schutz der digitalen Identität muss zunehmend automatisiert werden.

Gleichzeitig entwickeln sich neue Bedrohungen wie der Banking-Trojaner TCLBanker weiter. Er zielt bereits auf 59 verschiedene Plattformen ab. Experten erwarten, dass biometrische Hürden und hardwarebasierte Verifizierungen zum Standard werden. Die Herausforderung: die Balance zwischen maximaler Sicherheit und nutzerfreundlicher Bedienbarkeit zu halten.

de | wissenschaft | 69330244 |