KI-Phishing: Cyber-Kriminelle setzen auf Deepfakes

Eine neue Generation von Phishing-Angriffen bedroht weltweit Unternehmen und Privatpersonen. Diese Woche warnen Behörden vor einer ausgeklügelten Betrugsmasche, bei der Kriminelle Australiens größte Banken imitieren und ihre Opfer zu betrügerischen Transaktionen verleiten. Was diese Attacken so gefährlich macht? Sie nutzen modernste KI-Technologie und Deepfakes, um selbst erfahrene Nutzer zu täuschen.

Die Zeiten schlecht formulierter Spam-Mails sind vorbei. Moderne Cyber-Kriminelle verwenden künstliche Intelligenz, um perfekte Nachrichten zu generieren und sogar Stimmen zu klonen. Ein aktueller Fall verdeutlicht die neue Dimension der Bedrohung: Betrüger spalten bösartige QR-Codes in PDF-Anhänge auf, um Sicherheitssoftware zu umgehen.

KI macht Betrüger zu Meistern der Täuschung

Generative KI ermöglicht es Kriminellen, hochpersonalisierte Phishing-Mails in beispiellosem Umfang zu erstellen. Die Algorithmen analysieren Social-Media-Profile und Kommunikationsverläufe ihrer Ziele, um Ton und Stil vertrauter Kollegen oder Institutionen perfekt zu imitieren. Das Ergebnis: Betrügische Nachrichten sind kaum noch von echten zu unterscheiden.

Noch alarmierender ist der Aufstieg von „Vishing“ (Voice-Phishing) mit Deepfake-Technologie. Mit nur wenigen Sekunden Audiomaterial können KI-Tools jede Stimme klonen. Angreifer geben sich als Geschäftsführer aus und weisen Mitarbeiter telefonisch an, dringende Überweisungen zu tätigen oder sensible Daten preiszugeben. Diese Deepfake-Betrügereien haben bereits zu erheblichen finanziellen Schäden geführt.

„Quishing“: QR-Codes als digitale Fallen

QR-Code-Phishing, kurz „Quishing“, entwickelt sich zur am schnellsten wachsenden Bedrohung. Angreifer verstecken bösartige Links in QR-Codes, oft getarnt als Zwei-Faktor-Authentifizierung oder Dokumentenfreigaben. Da die schädlichen URLs als Bilder kodiert sind, umgehen sie oft herkömmliche E-Mail-Sicherheitsfilter.

Ein besonders raffinierter Fall wurde am 10. Oktober 2025 aufgedeckt: Kriminelle versteckten QR-Codes in PDF-Anhängen, die als DocuSign-Anfragen getarnt waren. Um der Entdeckung zu entgehen, teilten sie die Codes in mehrere Bildobjekte auf und verwendeten ungewöhnliche Farben. Für automatische Scanner unsichtbar, funktionieren sie für Smartphone-Kameras einwandfrei.
Anzeige: Apropos Quishing: Viele Android-Nutzer übersehen entscheidende Schutzschritte – gerade beim Scannen von QR-Codes oder beim Online-Banking. Der kostenlose Ratgeber zeigt Schritt für Schritt, wie Sie Ihr Android-Smartphone ohne teure Zusatz-Apps absichern, Phishing erkennen und Ihre Daten in WhatsApp, PayPal & Co. schützen. Mit kompakten Checklisten für geprüfte Apps, automatische Prüfungen und wichtige Updates. Jetzt das kostenlose Android‑Sicherheitspaket sichern

Angriff auf die Zwei-Faktor-Authentifizierung

Jahrelang galt die Zwei-Faktor-Authentifizierung (2FA) als Sicherheitsstandard. Doch Kriminelle entwickeln zunehmend Methoden, auch diese Barriere zu durchbrechen. Bei „Adversary-in-the-Middle“-Attacken schalten sich Angreifer zwischen Nutzer und echte Login-Seite und fangen dabei Passwörter und Session-Cookies ab.

Eine weitere Taktik sind „MFA-Fatigue“-Angriffe: Kriminelle bombardieren Opfer so lange mit Push-Benachrichtigungen, bis diese genervt zustimmen. Ein aktueller Fall aus US-Universitäten zeigt die Tragweite: Betrüger kaperten HR-Software wie Workday und leiteten Gehälter auf eigene Konten um.

Psychologische Kriegsführung im digitalen Raum

Die neueste Phishing-Evolution markiert einen strategischen Wandel von Massenangriffen hin zu psychologisch ausgefeilten, zielgerichteten Attacken. KI und Deepfakes nutzen das schwächste Glied jeder Sicherheitskette: menschliches Vertrauen. Durch die Imitation vertrauenswürdiger Personen und das Erzeugen von Zeitdruck verleiten Betrüger zu impulsiven Entscheidungen.

Phishing-as-a-Service-Plattformen demokratisieren diese fortschrittlichen Werkzeuge weiter. Sie stellen auch technischen Laien fertige Vorlagen für Datendiebstahl und Deepfake-Generierung zur Verfügung. Diese Industrialisierung der Cyberkriminalität bedeutet: Organisationen können sich nicht mehr nur auf das Blockieren bekannter Bedrohungen verlassen.

Wettrüsten erfordert neue Verteidigungsstrategien

Die Cybersicherheitslandschaft gleicht einem ständigen Wettrüsten zwischen Angreifern und Verteidigern. Experten prognostizieren noch automatisiertere und kontextbewusstere Phishing-Angriffe, möglicherweise mit KI-Bots für Echtzeit-Gespräche.

Als Antwort müssen Unternehmen mehrschichtige Zero-Trust-Sicherheitskonzepte einführen. Dazu gehören KI-basierte E-Mail-Sicherheitslösungen, die Verhaltensanomalien und Deepfake-Inhalte erkennen können. Die Grenzen herkömmlicher 2FA-Methoden erfordern phishing-resistente Authentifizierung wie FIDO2-Hardware-Sicherheitsschlüssel.

Entscheidend bleibt kontinuierliche und realistische Mitarbeiterschulung. Phishing-Simulationen müssen neue Taktiken wie Quishing und Vishing einbeziehen, damit der Mensch als starke Verteidigungslinie fungiert – nicht als Schwachstelle.
Anzeige: Übrigens: Neben Firmenrichtlinien zählt auch der private Geräteschutz. Der Gratis-Guide „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone“ erklärt verständlich, wie Sie Phishing-Links, Vishing-Fallen und Quishing per QR-Code vermeiden – mit klaren Schritt-für-Schritt-Anleitungen. Ideal für alle, die WhatsApp, Online‑Shopping, PayPal oder Banking nutzen. Kostenlosen Ratgeber per E‑Mail anfordern