Phishing-Attacken: KI macht Cyberkriminelle gefährlicher denn je
Künstliche Intelligenz revolutioniert Cyberkriminalität mit personalisierten Phishing-Angriffen, QR-Code-Fallen und Voice-Deepfakes. Die Erfolgsquote der Betrugsmaschen steigt dramatisch an.
Eine neue Generation hochentwickelter Phishing-Angriffe bedroht Millionen von Verbrauchern weltweit. Cyberkriminelle setzen dabei auf künstliche Intelligenz, QR-Codes und psychologische Manipulation – mit erschreckend hoher Erfolgsquote.
Zwei von fünf Deutschen bezeichnen KI-basierte Online-Betrugsmaschen bereits als ihre größte Sorge im digitalen Alltag. Kein Wunder: Die Angreifer werden immer raffinierter und nutzen mittlerweile koordinierte Attacken über mehrere Kanäle hinweg.
Was früher plumpe E-Mails mit Rechtschreibfehlern waren, sind heute perfekt formulierte Nachrichten, die selbst Experten täuschen können. Doch dahinter steckt System – und eine beunruhigende Entwicklung.
KI senkt die Hürden für Cyberkriminelle dramatisch
Die Integration künstlicher Intelligenz hat das Spiel grundlegend verändert. Generative KI-Tools können binnen Minuten Tausende personalisierte Phishing-E-Mails erstellen, maßgeschneidert auf Beruf, Interessen und sogar die jüngste Online-Aktivität der Zielperson.
Besonders perfide: KI erzeugt mittlerweile auch Deepfake-Stimmen und -Videos von Geschäftsführern, Familienmitgliedern oder Behördenvertretern. Diese sogenannten “Vishing”-Attacken (Voice-Phishing) wirken so authentisch, dass selbst misstrauische Nutzer ins Zweifeln geraten.
Der Preis für solche Angriffe ist regelrecht abgestürzt. Schon für umgerechnet 45 Euro sind KI-basierte Phishing-Bausätze im Darknet verfügbar – ein Bruchteil früherer Kosten.
“Quishing”: Wenn QR-Codes zur Falle werden
QR-Code-Phishing, kurz “Quishing”, verzeichnet einen dramatischen Anstieg um über 50 Prozent im vergangenen Jahr. Allein in der ersten Jahreshälfte 2025 identifizierten Sicherheitsexperten über 4,2 Millionen entsprechende Attacken.
So funktioniert die Masche: Cyberkriminelle verstecken schädliche Links in QR-Codes auf E-Mails, öffentlichen Plakaten oder scheinbar seriösen Dokumenten. Beim Scannen mit dem Smartphone landen Nutzer auf gefälschten Websites, die Login-Daten oder Bankverbindungen abgreifen.
Der Trick ist besonders tückisch, weil viele E-Mail-Sicherheitsfilter QR-Codes nicht durchleuchten können. Beliebte Ziele der Betrüger: Marken wie Microsoft oder Adobe, denen Verbraucher vertrauen.
Anzeige: Übrigens: Viele Angriffe landen heute direkt auf dem Smartphone – etwa per QR-Code („Quishing“) oder Messenger. Mit 5 einfachen Maßnahmen sichern Sie Ihr Android-Gerät ohne teure Zusatz-Apps – Schritt für Schritt erklärt für WhatsApp, Online‑Banking und Shopping. Holen Sie sich das kostenlose Sicherheitspaket und schließen Sie die wichtigsten Lücken in wenigen Minuten. Jetzt kostenloses Android-Sicherheitspaket laden
Wenn Sicherheit zum Ärgernis wird
Selbst die Zwei-Faktor-Authentifizierung (2FA) haben Kriminelle längst ausgehebelt – durch sogenannte “MFA-Fatigue”-Attacken. Nach dem Diebstahl der Login-Daten bombardieren sie ihre Opfer mit Push-Benachrichtigungen zur Bestätigung der Anmeldung.
Das Ziel: Den Nutzer durch ständige Störungen so zu nerven, dass er aus Versehen oder Frust eine Anmeldeanfrage genehmigt. Oft folgt sogar ein Anruf angeblicher IT-Mitarbeiter, die das Opfer zur Bestätigung drängen.
Experten empfehlen daher, einfache Push-Benachrichtigungen zu deaktivieren und stattdessen auf Code-basierte Verifikation zu setzen.
Vertrauen schwindet – zu Recht
Die Entwicklung zeigt: Cyberkriminalität wird demokratisiert. Was früher Spezialwissen erforderte, kann heute jeder Kleinkriminelle mit ein paar Euro Budget umsetzen. Nur noch 17 Prozent der Verbraucher vertrauen Unternehmen vollständig beim Umgang mit persönlichen Daten.
Die Angriffe werden zunehmend kanalübergreifend – E-Mail, SMS und Anrufe verschmelzen zu koordinierten Kampagnen. Cybersicherheit wird damit zur “Familienangelegenheit am Küchentisch”, wie Experten warnen.
Was können Verbraucher tun? Wichtigste Regel: Grundsätzlich misstrauisch bleiben. Unerwartete Nachrichten über offizielle Kanäle verifizieren, Passwort-Manager nutzen und bei verdächtigen Kontakten sofort nachfragen – aber niemals über die angegebenen Kontaktdaten der verdächtigen Nachricht selbst.
