Phishing 2025: KI und QR-Codes machen Cyberangriffe gefährlicher denn je

Die Bedrohungslage eskaliert: Cyberkriminelle setzen zunehmend auf generative KI, manipulierte QR-Codes und raffinierte Social-Engineering-Methoden. Das Ziel bleibt stets dasselbe – die vollständige Übernahme von Nutzerkonten mit verheerenden finanziellen Folgen für Unternehmen und Privatpersonen.

Eine neue Phishing-Plattform namens „Quantum Route Redirect” nutzt rund 1.000 Domains, um Microsoft-365-Zugangsdaten abzugreifen. Dies zeigt ein Bericht von Bleeping Computer vom 10. November 2025. Die Angreifer kombinieren gefälschte QR-Codes mit täuschend echten Zahlungsaufforderungen – eine Taktik, die weltweit Opfer findet. Bereits fünf Tage später dokumentierte eine weitere Analyse, wie selbst kleinste Schwachstellen in mobilen Apps für Kontoübernahmen und betrügerische Transaktionen ausgenutzt werden.

Generative KI hat die Einstiegshürde für Cyberkriminelle dramatisch gesenkt. Was früher Expertenwissen erforderte, erledigen nun automatisierte Tools: perfekt formulierte Phishing-Mails, die echte Firmenkommunikation täuschend echt nachahmen. Die vierteljährliche Bedrohungsanalyse des Sicherheitsunternehmens Rapid7 vom 13. November 2025 belegt, wie KI-Werkzeuge mittlerweile routinemäßig Scam-Kampagnen und Malware generieren.

Die Zahlen sind alarmierend. Eine zeitgleiche Untersuchung von Security Boulevard ergab: Bereits 82,6 Prozent aller Phishing-Mails nutzen KI-Sprachmodelle – ein massiver Anstieg gegenüber 2024. Die Erfolgsquote liegt bei erschreckenden 60 Prozent. 54 Prozent der Empfänger klicken auf schädliche Links – viermal mehr als bei herkömmlichen Phishing-Angriffen. Diese Entwicklung ermöglicht gezieltere Business-Email-Compromise-Attacken und effektiveres Abgreifen von Zugangsdaten.

„Quishing”: Wenn der QR-Code zur Falle wird

QR-Code-Phishing, kurz „Quishing”, entwickelt sich zum bevorzugten Angriffsvektor. Kriminelle missbrauchen das Vertrauen in die praktischen Codes, indem sie darin bösartige URLs verstecken. Die Codes erreichen Opfer per E-Mail, getarnt als Aufforderung zur Zwei-Faktor-Authentifizierung, Dokumentensignatur oder verpasste Sprachnachricht.

Der Trick funktioniert perfide: Beim Scannen mit dem Smartphone landet das Opfer direkt auf einer Seite zum Abgreifen von Zugangsdaten. Viele Unternehmenssicherheitssysteme prüfen zwar textbasierte Links, übersehen aber Bilder. Noch raffinierter wird es, wenn Angreifer QR-Codes in mehrere Bildfragmente aufteilen oder sie mit HTML-Tabellen und Unicode-Zeichen zusammensetzen. Die erwähnte „Quantum Route Redirect”-Plattform integriert diese Technik systematisch in automatisierte Angriffe auf Microsoft-365-Nutzer.

Passend zum Thema Quishing und mobile Sicherheitslücken: Viele Android-Nutzer übersehen einfache Schutzmaßnahmen, die Kontoübernahmen verhindern können. Das kostenlose Sicherheitspaket erklärt die fünf wichtigsten Schritte – von geprüften Scanner‑Einstellungen über App‑Prüfung bis zu sicheren Session‑Praktiken – mit klaren Schritt‑für‑Schritt‑Anleitungen. So schützen Sie WhatsApp, Online‑Banking und PayPal vor Datendiebstahl. Jetzt kostenloses Android-Sicherheitspaket anfordern

Kontoübernahme: Das lukrative Endziel

Hinter den meisten dieser Attacken steht ein klares Ziel: die vollständige Kontoübernahme. Ein Bericht vom 15. November 2025 zeigt, wie Schwachstellen wie unsichere Session-Verwaltung, fehlerhafte Token-Speicherung und unsichere Passwort-Resets in mobilen Apps direkte Einfallstore schaffen. Ist ein Angreifer erst einmal drin, kann er auf persönliche und finanzielle Daten zugreifen, Zugangsdaten ändern und unbefugte Transaktionen durchführen.

Das Ausmaß der Bedrohung dokumentierte bereits eine Veriff-Analyse vom April 2025: Die Zahl der Kontoübernahmen stieg um 13 Prozent gegenüber dem Vorjahr. Hauptverantwortlich dafür ist Infostealer-Malware, die Zugangsdaten und Session-Cookies von infizierten Geräten abgreift. Laut einer Flare-Analyse vom selben Monat können Angreifer damit selbst Zwei-Faktor-Authentifizierung umgehen – sie nutzen einfach das gestohlene Session-Token für den Zugriff.

Mehrfrontenkrieg gegen das Vertrauen

Die Kombination dieser Taktiken stellt Sicherheitsexperten vor massive Herausforderungen. KI-gestützte Social-Engineering-Angriffe machen es Mitarbeitern nahezu unmöglich, legitime von bösartigen Nachrichten zu unterscheiden. Gleichzeitig nutzt Quishing die Sicherheitslücke zwischen Unternehmensnetzwerken und privaten Geräten aus. Traditionelle Schutzmaßnahmen greifen oft ins Leere.

Selbst Nutzer mit aktivierter Zwei-Faktor-Authentifizierung sind verwundbar: durch „MFA-Fatigue”-Attacken, bei denen Angreifer sie mit Push-Benachrichtigungen bombardieren, oder durch Session-Hijacking, das die Zwei-Faktor-Authentifizierung komplett umgeht. Fachleute fordern daher, den menschlichen Faktor stärker in Sicherheitsstrategien einzubeziehen. Kontinuierliche Schulungen müssen Mitarbeiter befähigen, KI-generierte Köder und gefährliche QR-Codes zu erkennen.

Deepfakes: Die nächste Eskalationsstufe

Die Cybersecurity-Branche rechnet damit, dass Angreifer KI künftig noch intensiver einsetzen werden. Besonders besorgniserregend: Deepfake-Audio- und Videotechnologie für Vishing-Attacken (Voice-Phishing). Täuschend echte Stimmaufnahmen von Führungskräften sollen Mitarbeiter zu betrügerischen Überweisungen oder der Preisgabe sensibler Daten drängen.

Als Reaktion entsteht eine neue Generation KI-gestützter Abwehrtools, die generierte Inhalte erkennen und subtile Anzeichen ausgeklügelter Phishing-Versuche identifizieren können. Für Unternehmen bedeutet dies: Nur eine mehrschichtige Verteidigungsstrategie bietet ausreichenden Schutz. Diese muss fortschrittliche E-Mail-Sicherheit, robuste Zwei-Faktor-Authentifizierung, umfassende Mitarbeiterschulungen und einen Zero-Trust-Ansatz beim Netzwerkzugang kombinieren. Angesichts der ständigen Innovation der Angreifer ist eine proaktive und anpassungsfähige Sicherheitshaltung die einzige wirksame Gegenmaßnahme.

PS: Viele Angriffe beginnen auf dem Smartphone – schon eine falsche Scanner‑Einstellung oder ein offenes Session‑Token reicht oft für den Zugriff. Der kostenlose Ratgeber zeigt kompakt, welche Einstellungen Sie sofort ändern sollten, welche Routinen Mitarbeiter kennen müssen und welche Tools zusätzlichen Schutz bieten. Holen Sie sich das Android‑Schutzpaket mit praktischen Checklisten für den Alltag. Jetzt Gratis-Ratgeber zum Android‑Schutz anfordern