QR-Code-Betrug erreicht neue Dimension dank KI
Vom E-Mail-Spam zur Multimedia-Offensive
Eine neue Generation cyberkrimineller Angriffe terrorisiert Verbraucher und Unternehmen gleichermaßen. Das sogenannte “Quishing” – Phishing über QR-Codes – wird durch künstliche Intelligenz immer raffinierter und gefährlicher.
Sicherheitsexperten warnen vor einer “Phishing-Renaissance”, bei der klassische Betrugsmaschen durch KI aufgeladen werden. Die Attacken sind überzeugender und schwerer zu erkennen als je zuvor. Berichte der letzten 72 Stunden zeigen eine dramatische Zunahme mehrschichtiger Manipulationstaktiken, die Unternehmen und Privatpersonen Millionen kosten.
Das Problem: Die Öffentlichkeit vertraut den allgegenwärtigen schwarz-weißen Quadraten blind.
Vorbei sind die Zeiten simpler, verdächtiger E-Mails. Angreifer nutzen KI für hochpersonalisierte, grammatisch perfekte Köder – verbreitet über E-Mail, SMS, WhatsApp und sogar physische Post. Eine aktuelle Umfrage offenbart das Ausmaß der Krise: 76 Prozent aller Organisationen kämpfen damit, mit der Raffinesse KI-gestützter Attacken Schritt zu halten.
Diese neue Scam-Generation umgeht traditionelle Sicherheitsfilter und menschliche Skepsis mühelos. Die Folge: Opfer landen auf bösartigen Websites, die Zugangsdaten stehlen, Malware installieren oder Bankkonten leeren.
Anatomie eines modernen Quishing-Angriffs
Kern des Quishing ist Social Engineering über QR-Codes, die bösartige Links verschleiern. Anders als bei verdächtigen URLs, vor denen Nutzer zurückschrecken, ist ein QR-Code eine undurchsichtige Informationsbox. Das Ziel bleibt bis zum Scannen verborgen – ein Moment der Neugier, den Kriminelle geschickt ausnutzen.
“Phishing-Versuche über SMS und Messaging-Apps sind längst Alltag geworden”, erklärt Artem Bovtiukh, Senior IT-Sicherheitsingenieur bei MacPaw. Diese Multi-Kanal-Betrügereien erweisen sich als hocheffektiv.
Robeson Jennings von der Cybersicherheitsfirma ZeroFox beschreibt gegenüber Newsweek eine beunruhigende Entwicklung: Phishing-E-Mails sind nur noch der Auftakt größerer, mehrschichtiger Strategien. Nach einer E-Mail mit QR-Code folgen SMS oder sogar Anrufe mit KI-geklonten Stimmen vertrauter Personen. Das verleiht dem Betrug eine mächtige Legitimität.
KI als Turbolader für Cyberkriminelle
Die Verfügbarkeit generativer KI hat alles verändert. Die Einstiegshürden für Cyberkriminelle sind drastisch gesunken, während die Automatisierung überzeugender Betrügereien Hochkonjunktur hat. Laut CrowdStrike-Studie glauben 87 Prozent der Organisationen, dass KI-generierte Social-Engineering-Taktiken überzeugender sind als traditionelle Methoden.
KI kann kontextuell passende Nachrichten erstellen, die spezifische Sicherheitslücken in Organisationen oder bei Einzelpersonen ausnutzen. Das macht sie für Mitarbeiter praktisch unerkennbar.
Die Zahlen sprechen eine deutliche Sprache: Die durchschnittliche Zeit bis zum Klick auf einen bösartigen Link beträgt nur 21 Sekunden. Gezielte “Spear-Phishing”-Kampagnen täuschen über 50 Prozent der Empfänger erfolgreich. 87 Prozent der Organisationen erwarten, dass Deepfakes – KI-generierte gefälschte Videos oder Audios – zum wichtigsten Angriffsvektor bei künftigen Ransomware-Kampagnen werden.
Wenn die Post klingelt: Physische QR-Code-Fallen
Die digitale Bedrohung wird physisch. Das FBI warnte im Juli 2025 vor einem Betrug, bei dem Kriminelle unaufgeforderte Pakete mit QR-Codes verschicken. Diese Sendungen kommen oft ohne Absenderinformation an und wecken die Neugier der Empfänger.
Wer den Code scannt, landet auf betrügerischen Websites, die persönliche und finanzielle Daten sammeln oder Malware auf das Smartphone laden. Das FBI betont: Die physische Zustellung wirkt vertrauenswürdiger als unverlangter E-Mail-Spam – genau das nutzen die Betrüger aus.
Die Behörde rät eindringlich: Misstrauen Sie allen unaufgeforderten Paketen, besonders ohne klare Absenderangabe. Scannen Sie niemals QR-Codes unbekannter oder nicht vertrauenswürdiger Herkunft.
Gefährliche Selbstüberschätzung in Unternehmen
Trotz der Bedrohungslage herrscht in vielen Organisationen gefährliche Selbstüberschätzung. Die CrowdStrike-Studie deckt eine “Vertrauensillusion” auf: Während 78 Prozent der befragten Organisationen im vergangenen Jahr von Ransomware-Attacken betroffen waren, glaubte die Hälfte, “sehr gut vorbereitet” zu sein.
Diese Diskrepanz ist gefährlich. Phishing war in 45 Prozent der Ransomware-Vorfälle der ursprüngliche Kompromittierungspunkt. Zusätzlich glauben 92 Prozent der Organisationen, ihre Mitarbeiter seien gut darin geschult, Phishing-E-Mails zu erkennen. Die hohe Erfolgsrate der Angriffe beweist das Gegenteil.
Der traditionelle Rat “Klicken Sie nicht auf bösartige E-Mails” reicht längst nicht mehr. QR-Codes in E-Mails umgehen gezielt Sicherheitsfilter, die auf textbasierte Links programmiert sind, nicht auf Bilder. Private Mobilgeräte, oft schlechter geschützt als Firmencomputer, werden zum direkten Einfallstor für sensible persönliche und finanzielle Konten.
Mehr als Aufmerksamkeit: Mehrstufige Abwehr gefordert
Mit fortschreitender KI-Entwicklung werden Quishing und andere Social-Engineering-Angriffe nur noch personalisierter und schwerer erkennbar. Die Verteidigung muss von simpler Nutzeraufklärung zu mehrstufigen Sicherheitskonzepten wechseln.
Für Privatpersonen und Unternehmen gilt: Begegnen Sie allen unaufgeforderten QR-Codes mit äußerstem Misstrauen – egal ob per E-Mail, SMS oder physischer Post. Moderne Smartphones und Sicherheits-Apps können oft das URL-Ziel eines QR-Codes vorab anzeigen, bevor der Link geöffnet wird.
Anzeige: Apropos Quishing und KI-Betrug – Ihr bestes Gegenmittel ist ein gut gesichertes Smartphone. Viele Android-Nutzer übersehen 5 simple Maßnahmen, die WhatsApp, Online-Banking und Shopping zuverlässig absichern – ganz ohne teure Zusatz-Apps. Ein kostenloser Ratgeber erklärt die Schritte leicht verständlich und zeigt, wie Sie verdächtige QR-Links prüfen, automatische Prüfungen aktivieren und wichtige Updates nie verpassen. Jetzt das kostenlose Android-Sicherheitspaket anfordern
Unternehmen müssen phishing-resistente Multi-Faktor-Authentifizierung implementieren. Sie schützt vor der Nutzung gestohlener Zugangsdaten. Statt Grundlagentraining braucht es fortschrittliche E-Mail- und Browser-Sicherheitslösungen mit Verhaltensanalyse. Die beste Verteidigung gegen raffinierte Betrügereien bleibt die Verifikation ungewöhnlicher Geld- oder Datenanfragen über einen separaten, vertrauenswürdigen Kommunikationskanal.
