Quishing: KI-gestützte QR-Code-Angriffe erreichen neue Dimension

QR-Code-Betrug wird immer raffinierter: Cyberkriminelle nutzen künstliche Intelligenz und ausgefeilte Tarnmethoden, um Sicherheitsbarrieren zu umgehen. Eine neue Welle von Angriffen zielt gezielt auf die Schwachstelle Mensch ab – mit alarmierender Erfolgsquote.

Die digitale Bedrohungslage hat sich dramatisch verschärft. Sicherheitsforscher und Polizeibehörden warnen aktuell vor einer neuen Eskalationsstufe beim sogenannten Quishing, dem Phishing per QR-Code. Angreifer kombinieren nun KI-gestützte Inhaltserstellung mit technischen Tricks, um traditionelle Filter auszuhebeln. Diese Entwicklung zwingt Unternehmen und Privatpersonen zu einem dringenden Sicherheits-Update.

Das „QR-Puzzle“: So tarnen sich die neuen Angriffe

Die Raffinesse der aktuellen Angriffswellen übertrifft alles Bisherige. Experten des Sicherheitsunternehmens Barracuda deckten am 28. Januar eine neue Taktik auf: das „QR-Puzzle“. Dabei wird der schädliche Code nicht als einfache Grafik versendet. Stattdessen zerlegen Kriminelle ihn in viele kleine Teile und setzen ihn in einer HTML-Tabelle wieder zusammen.

QR-Code-Phishing (Quishing) und KI-gestützte Phishing-Kits machen es heute Angreifern besonders leicht, auch gut geschulte Mitarbeiter zu täuschen. Ein kostenloses Anti-Phishing-Paket erklärt in 4 klaren Schritten, wie Sie Quishing-Fallen erkennen, mobile Endgeräte schützen und psychologische Angriffsmuster Ihrer Belegschaft entziehen. Praktische Checklisten, Präventionsmaßnahmen und konkrete Anleitungen für IT-Verantwortliche helfen, sofort wirksame Schutzmaßnahmen zu etablieren. Anti-Phishing-Paket jetzt kostenlos herunterladen

Für den Menschen sieht das Ergebnis wie ein normaler Code aus. Viele automatisierte Sicherheitsscanner, die nach kompletten Bilddateien suchen, erkennen die Gefahr jedoch nicht. Diese Methode stammt aus dem „Tycoon-Phishing-Kit“, einem Baukasten für Cyberangriffe.

Parallel dazu verlagert sich die Bedrohung in die reale Welt. Die Landespolizeiinspektion Saalfeld warnte am selben Tag vor gefälschten Paketbenachrichtigungen. Kriminelle werfen täuschend echte Flyer in Briefkästen, die zum Scannen eines QR-Codes auffordern. Dieser führt jedoch direkt auf betrügerische Webseiten zum Abgreifen von Daten.

KI als Gamechanger für Cyberkriminelle

Die Effektivität dieser Angriffe wird durch künstliche Intelligenz massiv gesteigert. Ein aktueller Bericht zeigt: Generative KI-Tools ermöglichen perfekt formulierte, personalisierte Phishing-E-Mails und -Webseiten. Sprachliche Fehler, einst ein sicheres Warnsignal, gehören damit der Vergangenheit an.

Gleichzeitig boomt das Geschäft mit Phishing-as-a-Service (PhaaS) im Darknet. Die Anzahl bekannter Phishing-Baukästen hat sich 2025 verdoppelt. Besorgniserregend: Bei etwa 20 Prozent aller Angriffe mit solchen Kits kommen bereits schädliche QR-Codes zum Einsatz. Diese Baukästen enthalten oft auch Techniken, um die Zwei-Faktor-Authentifizierung (2FA) zu umgehen.

Der gezielte Bruch: Vom Firmen-PC zum privaten Smartphone

Die Strategie der Angreifer ist clever und nutzt eine fundamentale Schwachstelle aus. Während verdächtige Links in Firmen-E-Mails oft blockiert werden, verlagert ein QR-Code den kritischen Klick auf das private Smartphone des Mitarbeiters. Damit verlässt die Handlung die geschützte IT-Infrastruktur des Unternehmens.

Dieser Medienbruch ist höchst effektiv. Sicherheitswarnungen des Firmenrechners greifen auf dem privaten Gerät nicht. Auch vertraute Umgebungen wie Microsoft Teams werden missbraucht. Ein in einem Chat geteilter QR-Code wirkt im bekannten Kontext oft legitim und senkt die natürliche Skepsis der Nutzer.

Was jetzt zu tun ist: Schutz für Unternehmen und Privatpersonen

Angesichts dieser dynamischen Bedrohung reichen herkömmliche Schutzmaßnahmen nicht mehr aus. Unternehmen müssen ihre Sicherheitskonzepte dringend anpassen.

• Technologie: Ein reiner URL-Filter genügt nicht. Moderne Abwehr benötigt KI-gestützte Bildanalyse, die QR-Code-Inhalte in Echtzeit prüft. Zudem wird der Schutz mobiler Endgeräte (Mobile Threat Defense) zur Pflicht.
• Mitarbeitersensibilisierung: Regelmäßige Schulungen müssen die neuesten Tricks wie das „QR-Puzzle“ und physische Quishing-Flyer thematisieren. Die goldene Regel lautet: Nie unaufgefordert zugesandten QR-Codes vertrauen – egal ob per Mail, Chat oder im Briefkasten.

Für Privatpersonen gilt erhöhte Vorsicht. Statt einen QR-Code auf einer Paketbenachrichtigung zu scannen, sollte die Sendungsnummer stets manuell auf der offiziellen Website des Logistikers eingegeben werden. Bei verdächtigen Aufforderungen gilt: Im Zweifel direkt beim Unternehmen über einen bekannten Kontaktweg nachfragen.

Das Wettrüsten zwischen Angreifern und Verteidigern läuft auf Hochtouren. Effektiver Schutz entsteht nur durch die Kombination aus fortschrittlicher Technologie und einem stets wachsamen, kritischen Nutzerverhalten.

PS: Übrigens – wer seine Organisation gezielt gegen PhaaS, Quishing und 2FA-Bypass rüsten will, findet im kostenlosen Anti-Phishing-Paket weiterführende Tools und Fallbeispiele aus der Praxis. Von branchenspezifischen Abwehrmaßnahmen bis zu Mitarbeiterschulungen: Dieser Leitfaden liefert praxiserprobte Maßnahmen, mit denen Sie Angriffsrisiken deutlich reduzieren können. Jetzt Anti-Phishing-Guide sichern