QR-Code-Phishing hat sich zu einer industriellen Bedrohung entwickelt. Eine aktuelle Großkampagne umging Sicherheitsfilter und erreichte über 1,6 Millionen Postfächer – zeitgleich warnen Behörden weltweit vor der neuen Angriffswelle.

Die Cyber-Sicherheitslandschaft steht Ende März 2026 an einem kritischen Wendepunkt. Die als „Quishing“ bekannte Angriffsmethode – Phishing via manipulierter QR-Codes – eskaliert massiv. Am 26. März identifizierten Forscher die hochsophistische Operation „Quish Splash“, die große Sicherheitsfilter überwand. Die Kampagne folgt auf eine Serie dringender Warnungen des FBI, der US-Cybersicherheitsbehörde CISA und internationaler Stellen. Sie alle sehen einen koordinierten Strategiewechsel von Cyberkriminellen, die das Vertrauen der Nutzer mit gefälschten Systemwarnungen und mobilen Umleitungen ausnutzen.

Anzeige

Cyberkriminelle nutzen immer raffiniertere Methoden wie manipulierte QR-Codes, um Zugriff auf Ihre geschäftlichen Daten zu erhalten. Dieser Experten-Guide zeigt in 4 Schritten, wie Sie branchenspezifische Gefahren erkennen und Ihr Unternehmen wirksam vor Phishing-Attacken schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr

„Quish Splash“: Industriemaßstab und technische Tarnung

Die „Quish Splash“-Kampagne markiert eine neue Stufe bei QR-Angriffen. Laut dem Sicherheitsunternehmen 7AI nutzten die Angreifer eine Drei-Wellen-Strategie und erreichte in weniger als drei Wochen über 1,6 Millionen organisatorische Postfächer. Die Mails waren gezielt darauf ausgelegt, traditionelle E-Mail-Sicherheitsprotokolle wie Microsoft Defender zu umgehen. Der Trick: Die Phishing-Links waren in BMP-Bildanhängen versteckt, nicht in textbasierten URLs.

Technische Analysen zeigen, dass die Angreifer unter dem Pseudonym „Baron Lester“ ihre E-Mails so konfigurierten, dass sie alle wichtigen Authentifizierungschecks bestanden. Jeder Empfänger erhielt ein individuelles QR-Code-Bild. Diese „Hash-Evasion“-Taktik verhinderte, dass Sicherheitssoftware die gesamte Kampagne anhand einer einzigen Schadcode-Signatur erkennt. So blieb der Angriff während seiner Hochphase Mitte März unentdeckt.

Globale Alarmstimmung: Behörden warnen vor neuer Phishing-Welle

Der Quishing-Anstieg löste diese Woche eine Flut behördlicher Warnungen aus. Das FBI und CISA warnten am 23. März vor einer anhaltenden Phishing-Kampagne, die mutmaßlich mit russisch-affiliierten Akteuren in Verbindung steht. Sie zielt auf Nutzer von Messenger-Diensten wie Signal und WhatsApp. Die Täter geben sich als Technik-Support aus und schicken dringende Warnungen zu „verdächtigen Aktivitäten“, um Opfer zum Scannen von QR-Codes zu verleiten.

Am 25. März folgte eine regionale Warnung des Dubai Electronic Security Centre (DESC) vor Betrugsversuchen mit gefälschten QR-Codes für „dringende Updates“. Die Behörden betonen eine gemeinsame Sorge: Der Wechsel von Desktop- zu Mobilgeräten schafft eine „Sichtbarkeitslücke“, die traditionelle Unternehmenssicherheit kaum schließen kann.

Anzeige

Da Angreifer gezielt die Sicherheitslücken auf Mobilgeräten bei der Nutzung von WhatsApp und Banking ausnutzen, ist ein privater Basisschutz unerlässlich. Das kostenlose Sicherheitspaket liefert Ihnen 5 sofort umsetzbare Maßnahmen, um Ihr Android-Smartphone effektiv vor Datendiebstahl zu schützen. Kostenlosen Android-Sicherheits-Ratgeber herunterladen

Die Mechanik moderner Angriffe: Von QR-Codes zu OAuth-Missbrauch

Heutiges Quishing ist ein mehrstufiger Prozess, der auch moderne Abwehr wie die Zwei-Faktor-Authentifizierung (2FA) aushebelt. Microsoft-Forscher dokumentierten Ende März, dass Angreifer zunehmend OAuth-Umleitungsverhalten missbrauchen. Ein gescannter Code startet einen legitim wirkenden Anmeldevorgang, der das Opfer letztlich auf infizierte Infrastruktur umleitet.

Das Hauptziel ist oft, das Opfer vom geschützten Arbeitsrechner auf das private Smartphone zu locken. Mobilgeräte haben meist keinen vergleichbaren Echtzeit-Schutz. Wird der Code gescannt, erscheint eine perfekte Kopie einer Microsoft-365- oder Banking-Login-Seite. Da dies außerhalb der Unternehmens-IT geschieht, können Angreifer Anmeldedaten und Sitzungstokens in Echtzeit abfangen – und so die 2FA umgehen.

Branchen im Fokus und Abwehrstrategien für 2026

Die Bedrohung trifft alle Sektoren, besonders aber den Gesundheitsbereich und den Mittelstand. Laut dem Kaseya Cybersecurity Outlook Report 2026 rechnen fast 70 Prozent der Unternehmen im kommenden Jahr mit einem signifikanten Phishing-Angriff. Im Gesundheitswesen ist Quishing ein Haupttreiber für Business Email Compromise (BEC), bei dem gestohlene Zugänge den Zugriff auf Patientendaten ermöglichen.

Experten raten daher zu einer Abkehr von anfälligen 2FA-Methoden. Stattdessen sollten phishing-resistente Verfahren wie FIDO2-Hardware-Keys zum Einsatz kommen. Behörden wie das DESC empfehlen spezielle Tools wie „RZAM“, die beim Scannen vor verdächtigen Websites warnen. Unternehmen müssen Mobile Threat Defense (MTD)-Lösungen einführen, die URLs in Bildern dynamisch analysieren – eine Sicherheitsebene, die klassische Mobile-Device-Management-Tools nicht bieten.

Ausblick: KI-generierte Köder und anhaltende Gefahr

Die Integration Künstlicher Intelligenz in Phishing-Angriffe dürfte sich beschleunigen. Analysen deuten darauf hin, dass KI-gestützte Techniken das Angriffsvolumen im letzten Jahr fast verdoppelt haben. Die „Quish Splash“-Kampagne könnte ein Vorbote noch automatisierterer Großangriffe sein.

Cybersicherheitsexperten prognostizieren eine nächste Angriffswelle mit Deepfake-Elementen: QR-Codes, kombiniert mit KI-generierten Sprach- oder Video-Warnungen, um maximale Dringlichkeit vorzutäuschen. Die Verteidigung setzt auf Zero-Trust-Architekturen und kontinuierliche Nutzerschulung. Der Paradigmenwechsel vom „blinden Scannen“ zum „Quellen verifizieren“ ist in einer mobil-first-Welt unverzichtbar geworden.