Zurück zum Blog

Phishing auf dem Handy: SMS, WhatsApp & QR - Welche Richtlinien KMU wirklich brauchen

Mobile ist jetzt die Frontlinie des Phishings. Mitarbeiter/innen bestätigen MFA-Aufforderungen auf ihren Telefonen, scannen QR-Codes an der Bürotür und verbinden geschäftliche Chats über QR mit dem Desktop. Angreifer folgen dieser Spur. In diesem Leitfaden finden KMU kopierfähige Richtlinien und Schnellkontrollen, die sie noch diese Woche einführen können und die sich auf aktuelle Empfehlungen und unsere Erfahrungen in der Praxis stützen.

Von Autophish Team|Veröffentlicht am 9/29/2025
Cover image for Phishing auf dem Handy: SMS, WhatsApp & QR - Welche Richtlinien KMU wirklich brauchen

Warum mobiles Phishing im Jahr 2025 wichtig ist

  • Smishing (SMS-Phishing) hat stark zugenommen und ist einer der wichtigsten Betrugsvektoren in Europa; QR-basiertes "Quishing" nimmt schnell zu. [ENISA] (https://www.enisa.europa.eu/sites/default/files/2025-02/Finance%20TL%202024_Final.pdf)
  • Missbrauch von WhatsApp und vernetzten Geräten: Staatliche Akteure haben sich von E-Mails auf Messenger verlagert, indem sie die Zielpersonen dazu bringen, WhatsApp Web QR-Codes zu scannen. Behandle Scans wie Passwörter. Microsoft+1
  • MFA-Müdigkeit erzwang ein Umdenken bei Push-Freigaben; Microsoft hat die Mieter auf Nummernabgleich umgestellt, um Push-Spam-Freigaben abzuschwächen. Microsoft Learn+1
  • FBI/IC3 warnen vor QR-basiertem Betrug - einschließlich Betrügereien, bei denen unerwünschte Pakete einen QR-Code enthalten, der zum Diebstahl von Zugangsdaten oder Malware führt. Internet Crime Complaint Center+1

Wenn du wissen willst, was schief gelaufen ist, sieh dir unsere 10 wilde Phishing-Geschichten (2024-2025) an - wir weisen auf QR-gestützte Kontoübernahmen und Messaging-App-Pivots mit konkreten Leitplanken hin.

Das Mobile-First Phishing Playbook (wie Angriffe funktionieren)

  1. Smishing & Messaging-Köder Kurznachrichten täuschen Lieferfirmen, Mautgebühren oder IT-Resets vor. Links öffnen Anmeldeseiten, Zahlungsformulare oder bringen Nutzer dazu, gefälschte Apps zu installieren.
  2. QR-Codes als Login-Token WhatsApp/andere Apps verwenden QR, um Geräte zu verbinden. Ein erzwungener Scan = Sitzungsübernahme - auch ohne Passwort. Die Richtlinie sollte "Scan to link" als sensiblen Authentifizierungsschritt behandeln.
  3. MFA-Push-Missbrauch Angreifer spammen Aufforderungen, bis ein müder Benutzer auf "Genehmigen" tippt. Nummernabgleich (gib den Code auf dem Bildschirm ein) und Geolocation/Mieterkontext reduzieren diese Genehmigungen.
  4. Malware auf dem Handy Links stehlen in der Regel Anmeldeinformationen, können aber auch bösartige Installationen einschleusen - auf Android ist dies eher über sideload APKs möglich; iOS ist schwieriger (App Store Gate), aber es gibt riskante Profile/0-Klick-Vulns. Mobile Schutzmaßnahmen wie Play Protect verringern das Risiko, beseitigen es aber nicht.

Welche Richtlinien KMU tatsächlich brauchen (bereit zur Anpassung)

Im Folgenden findest du prägnante Klauseln, die du in deine Acceptable Use-, BYOD- und Messaging-Richtlinien aufnehmen kannst. Jede beinhaltet eine Kontrolle und ein kurzes "Warum".

1) BYOD: Mindestanforderungen an die Sicherheit

  • OS & Patch-Level: Persönliche Geräte, die für die Arbeit genutzt werden, müssen mit einem vendor-supported OS laufen und die automatische Aktualisierung muss aktiviert sein. (Android, iOS, iPadOS).
  • Gerätesicherheitskontrollen: Bildschirmsperre, verschlüsselter Speicher und die Möglichkeit zur Fernlöschung von Arbeitsdaten über MDM/Arbeitsprofil (COPE/COSU oder Android Work Profile/iOS User Enrollment).
  • App-Quellen: Keine Sideloaded-Apps für die Arbeit; Business-Apps müssen aus verwalteten Stores stammen. (Unbekannte Android-Quellen erhöhen das Risiko; Play Protect mindert es, ist aber kein Ersatz für die Richtlinie) NCSC+2NCSC+2

Warum: Der NCSC-Leitfaden für Geräte betont das Gleichgewicht zwischen Benutzerfreundlichkeit und Kontrolle bei BYOD; du willst eine verwaltete Datentrennung und Sperrung. NCSC+1

2) Messaging & soziale Apps (WhatsApp, Signal, iMessage, etc.)

  • Grenzwerte für die geschäftliche Nutzung: Wenn Messaging-Apps für geschäftliche Zwecke genutzt werden, beschränke sie auf verwaltete Geräte; keine Verknüpfung über QR auf nicht verwalteten Desktops.
  • Überwachung der verknüpften Geräte: Alarmierung bei neuen verknüpften Geräten; alle 30 Tage eine erneute Überprüfung verlangen.
  • Keine sensiblen Genehmigungen per Chat: Zahlungen, Änderungen der Bankverbindung oder SSO-Resets müssen per Ticket + Rückruf an eine Nummer aus dem Verzeichnis erfolgen.

Warum: Bedrohungsakteure missbrauchen aktiv Messenger Verknüpfungen und QR. Behandle einen QR-Scan wie eine SSO-Anmeldung. Microsoft

3) Umgang mit QR-Codes

  • QR als Anmeldeinformationen behandeln: QR-Codes für die Anmeldung oder die Geräteverknüpfung zu scannen ist gleichbedeutend mit der Eingabe eines Passworts; nur von vertrauenswürdigen Quellen auf verwalteten Geräten scannen.
  • Vor dem Öffnen prüfen: Das Personal muss die URL vor dem Öffnen prüfen (mobiler Browser/App unterstützt dies) und die Domain verifizieren.
  • Risikobehaftete Verkürzer blockieren: Filtere gängige Verkürzer (mit Ausnahme der erlaubten geschäftlichen Nutzung).

Warum: FBI/IC3 dokumentierten QR-Betrug; Angreifer verstecken Ziele und nutzen das Vertrauen der Nutzer aus. Internet Crime Complaint Center

4) MFA-Härtung (Push-Müdigkeit stoppen)

  • Erzwinge Nummernübereinstimmung für Push-Freigaben im gesamten Mandanten.
  • Phishing-resistente Methoden (FIDO2/Passkeys) bevorzugen und SMS-Fallback nach der Anmeldung deaktivieren. Microsoft Learn+1

Warum: Push-Spam funktioniert; Number-Matching und Passkeys reduzieren den Missbrauch erheblich.

5) Mobile Browser- & App-Kontrollen

  • Sicheres Surfen und App-Überprüfung: Lass Play Protect eingeschaltet; blockiere App-Installationen aus unbekannten Quellen; verlange verwaltete App-Stores. Google-Hilfe
  • Profile/Konfigurationen: Verbiete die Installation von unzulässigen Konfigurationsprofilen auf iOS; Profile können Trust Roots, VPN/DNS oder MDM verändern - ein ernstes Risiko. TechTarget

6) Zahlungen und Genehmigungen über das Handy

  • Doppelte Kontrolle + Rückruf: Jede Zahlung, jede Änderung der Lieferantenbank oder jeder Geschenkkartenkauf erfordert zwei Genehmiger + Rückruf über eine bekannte Nummer (nicht aus der Nachricht).
  • Kein "Genehmigen per Link in der SMS " für Finanz- und HR-Workflows.

Warum: Das klassische BEC bleibt kostspielig; Prozessleitplanken schlagen das menschliche Urteilsvermögen unter Zeitdruck.

7) Berichterstattung und Reaktion (Überholspur)

  • Melden mit nur einem Fingertipp: Füge eine Aktion SMS/Nachricht melden in der MDM-Hilfe-App hinzu; leite sie an SecOps und den Anbieter weiter, um sie zu beseitigen.
  • Beweise sichern: Die Mitarbeiter sollten die Nachricht aufbewahren, einen Screenshot der vollständigen URL machen und die Uhrzeit notieren, bevor sie gelöscht werden.
  • Automatische Sperren: Füge Absender- und Zieldomänen/Hosts zu mobilen und E-Mail-Gateways hinzu; achte auf neu verknüpfte Geräte.

Rollout-Checkliste

  1. Schalte das Number-Matching (Microsoft Entra ID) ein und überprüfe die MFA-Methoden; Vorzugsweise Passkeys/FIDO2.
  2. Aktualisiere die BYOD-Richtlinie mit den oben genannten Klauseln; verlange verwaltete App-Stores und keine QR-Verknüpfung auf nicht verwalteten Desktops.
  3. MDM-Regeln festlegen: unbekannte Quellen auf Android blockieren, nicht genehmigte iOS-Profile blockieren, Warnung bei neuen WhatsApp/Signal verknüpften Geräten.
  4. Ein mundgerechtes Training mit AutoPhish durchführen. Für einen Works-Council-freundlichen Ansatz verwende anonymisierte Metriken - unser Leitfaden erklärt, wie.

FAQ

**Q1) Kann man Phishing auch per Telefon betreiben?

Ja. Smishing (SMS) und Messenger DMs sind gängige Phishing-Kanäle. Die Nachrichten verlinken auf gefälschte Anmeldeseiten, Bezahlseiten oder App-Installationen; sie können auch Voice Phishing (Vishing) Rückrufe versuchen. Die CISA definiert Smishing als SMS-basiertes Social Engineering und beschreibt, wie Links Aktionen auf dem Handy auslösen können. CISA

Q2) Kann Phishing für Identitätsdiebstahl genutzt werden?

Auf jeden Fall. Das Ziel ist oft Datenklau (E-Mail, Bank, Cloud-Apps) oder das Sammeln von persönlichen Daten, die die Übernahme von Konten und Finanzbetrug ermöglichen. FBI/IC3-PSAs haben wiederholt davor gewarnt, dass QR-/Smishing-Kampagnen persönliche und finanzielle Daten für Betrug sammeln. Internet Crime Complaint Center

Q3) Kann ein Phishing-Link Malware auf meinem Telefon installieren?

Manchmal -aber normalerweise sind dafür zusätzliche Schritte nötig.

  • Auf Android könnte eine Website versuchen, dich dazu zu bringen, eine APK zu laden; Play Protect verringert das Risiko, aber es ist wichtig, die Quellen in den Richtlinien zuzulassen. Google-Hilfe
  • Auf iOS sind direkte Installationen eingeschränkt; Angreifer können schädliche Konfigurationsprofile einschleusen oder seltene Null-Klick-Schwachstellen ausnutzen. (Jüngste WhatsApp-Hinweise weisen auf gezielte Zero-Click-Probleme hin, die gepatcht wurden; halte die Apps auf dem neuesten Stand) TechTarget+1Das größere Risiko ist in den meisten Fällen das Sammeln von Anmeldeinformationen und der Diebstahl von Sitzungen, was auch ohne Malware zu Identitätsbetrug führt. CISA

Q4) Sind QR-Codes sicher zu scannen?

Behandle QR-Codes wie Links: Scanne nur von vertrauenswürdigen Quellen, bevorzuge verwaltete Geräte und prüfe die URL vor dem Öffnen. Das FBI/IC3 warnt ausdrücklich vor QR-basierten Betrügereien (einschließlich unerwünschter Sendungen mit eingebettetem QR). Internet Crime Complaint Center

Q5) Ist WhatsApp-Phishing echt, wenn ich 2FA habe?

Ja. Angreifer können Nutzer dazu verleiten, ein neues Gerät per QR** zu verlinken und Passwörter zu umgehen, indem sie den Sitzungszugang stehlen. Aktiviere die Zweistufen-Verifizierungs-PIN von WhatsApp, überwache verlinkte Geräte und verlinke niemals von einem nicht vertrauenswürdigen Desktop. [Microsoft] (https://www.microsoft.com/en-us/security/blog/2025/01/16/new-star-blizzard-spear-phishing-campaign-targets-whatsapp-accounts/)

Q6) Was sollte die Finanz- und Personalabteilung auf dem Handy anders machen?

Keine Genehmigungen oder Bankänderungen über Links oder Chat. Verwende Ticket + Dual-Control + Rückruf an eine bekannte Nummer, jedes Mal. Unser [Incident Recap] (https://autophish.io/blog/10-wild-phishing-and-phish-adjacent-stories-from-2024-2025-including-important-lessons-learned) erklärt, warum das selbst raffinierte Deepfake/DM-Methoden stoppt.

Weitere Lektüre & Ressourcen

  • CISA Best Practices für Mobilgeräte und warum FIDO/phishing-resistente MFA besser ist als SMS/App-Codes. CISA
  • NCSC BYOD-Leitfaden zur Gestaltung einer vernünftigen, praktikablen Richtlinie für persönliche Geräte. NCSC+1
  • Microsoft über die Entwicklung von Identitätsangriffen (Push Fatigue → Number-Matching → Passkeys). Microsoft Learn+1
  • IC3 PSA über QR-Betrug (aktuelle Betrugsfälle, Meldung). Internet Crime Complaint Center

Wie AutoPhish helfen kann

Zurück zu allen Beiträgen

Bereit, deine menschliche Firewall zu stärken?

Melde dich an und starte deine erste Phishing-Simulation in wenigen Minuten.

Jetzt Simulation startenKontakt aufnehmen