Die Bedrohung durch Betrug und Cyberkriminalität entwickelt sich kontinuierlich weiter. Im Jahr 2025 zeigen sich mehrere neue, teils technologisch hochentwickelte Betrugsarten, die Privatpersonen und Unternehmen gleichermaßen gefährden. Kriminelle nutzen zunehmend künstliche Intelligenz, Automatisierung und neue digitale Zahlungswege, um ihre Opfer zu täuschen und finanzielle Schäden in Milliardenhöhe zu verursachen. Der folgende Artikel gibt einen umfassenden Überblick über die wichtigsten Betrugsmaschen des Jahres 2025.
QR-Code-Phishing (Quishing): Die neue Masche mit Paketversand
Eine der bemerkenswertesten neuen Betrugsformen des Jahres 2025 ist das sogenannte Quishing – Phishing über QR-Codes. Betrüger versenden physische Pakete an arglose Empfänger, die einen QR-Code enthalten. Dieser QR-Code führt beim Scannen auf eine täuschend echt gestaltete Phishing-Website, die persönliche Daten, Zugangsdaten oder Zahlungsinformationen abgreift.
Das Perfide an dieser Methode: Die Pakete wirken seriös und enthalten oft ein kleines Geschenk oder eine Produktprobe, um Vertrauen aufzubauen. Der beiliegende QR-Code wird als Registrierungslink, Garantieaktivierung oder Produktinformation getarnt. Da QR-Codes die tatsächliche Ziel-URL verschleiern, ist es für den Empfänger nahezu unmöglich, die Legitimität des Links vor dem Scannen zu überprüfen.
Das FBI hat im Jahr 2025 bereits eine offizielle Warnung vor dieser Betrugsmasche herausgegeben und empfiehlt, QR-Codes aus unbekannten Quellen grundsätzlich nicht zu scannen. Besondere Vorsicht ist geboten, wenn QR-Codes an öffentlichen Orten – etwa an Parkautomaten, Ladesäulen oder in Restaurants – mit gefälschten Aufklebern überklebt werden. Diese Variante, auch bekannt als QR-Code-Overlay-Angriff, leitet das Opfer auf betrügerische Zahlungsseiten um.
KI-gestützte Betrügereien: Deepfake und automatisierte Scams
Künstliche Intelligenz hat die Betrugslandschaft im Jahr 2025 grundlegend verändert. Deepfake-Technologie ermöglicht es Kriminellen, täuschend echte Video- und Audiofälschungen zu erstellen, die selbst für geschulte Augen und Ohren kaum von der Realität zu unterscheiden sind.
Aktuelle Studien zeigen alarmierende Zahlen: Rund fünf Prozent aller fehlgeschlagenen Identitätsüberprüfungen im Finanzsektor sind mittlerweile auf Deepfake-Angriffe zurückzuführen. Betrüger nutzen KI-generierte Gesichter und Stimmen, um Identitätsverifikationsprozesse zu überlisten, sich bei Videokonferenzen als Vorgesetzte auszugeben oder gefälschte Erpressungsvideos zu erstellen.
Besonders besorgniserregend ist der Einsatz von KI-Chatbots für automatisierte Betrugskampagnen. Diese Bots führen überzeugende Gespräche per E-Mail, Chat oder sogar Telefon und können tausende potenzielle Opfer gleichzeitig ansprechen. Sie passen ihre Kommunikation individuell an das jeweilige Opfer an, nutzen öffentlich verfügbare Informationen aus sozialen Medien und reagieren in Echtzeit auf Rückfragen – eine Qualität der Täuschung, die bisher nur durch menschliche Betrüger möglich war.
Ein weiterer besorgniserregender Trend sind KI-generierte Stimmenklone. Mit nur wenigen Sekunden Audiomaterial – etwa aus einem öffentlichen Vortrag oder einer Voicemail – können Betrüger eine nahezu perfekte Kopie einer Stimme erstellen. Diese wird dann für sogenannte Voice-Phishing-Angriffe (Vishing) eingesetzt, bei denen sich die Anrufer als Familienmitglieder, Vorgesetzte oder Bankberater ausgeben.
Kryptowährungsbetrug
Der Kryptowährungsmarkt bleibt auch 2025 ein bevorzugtes Jagdrevier für Betrüger. Die dezentrale Natur von Kryptowährungen, die Irreversibilität von Transaktionen und das begrenzte technische Verständnis vieler Anleger schaffen ideale Bedingungen für verschiedenste Betrugsformen.
Zu den häufigsten Maschen gehören gefälschte Token und Coins, die auf dezentralen Börsen platziert und durch koordinierte Social-Media-Kampagnen beworben werden. Nach einem kurzen Kursanstieg ziehen die Betrüger ihre Liquidität ab (sogenannter Rug Pull) und hinterlassen wertlose Token.
Betrügerische Wallet-Apps imitieren bekannte Krypto-Wallets und erscheinen sogar in offiziellen App-Stores. Sobald der Nutzer seine Recovery-Phrase eingibt oder Kryptowährung auf die App-Adresse überweist, werden die Mittel gestohlen. Trotz verschärfter Kontrollen durch App-Store-Betreiber gelingt es Betrügern immer wieder, diese Sicherheitsmaßnahmen zu umgehen.
Gefälschte Initial Coin Offerings (ICOs) und Token Sales locken Anleger mit Versprechen revolutionärer Technologien und garantierter Renditen. Professionell gestaltete Websites, gefälschte Whitepapers und bezahlte Influencer-Empfehlungen verleihen diesen Projekten eine trügerische Legitimität. Sobald genügend Investorengelder gesammelt sind, verschwinden die Betreiber.
SIM Swap Betrug
SIM Swap Betrug hat im Jahr 2025 ein dramatisches Ausmaß erreicht. In Großbritannien verzeichneten die Behörden einen Anstieg von über 1.000 Prozent im Vergleich zu den Vorjahren – ein Trend, der sich auch in Deutschland und anderen europäischen Ländern abzeichnet.
Bei einem SIM-Swap-Angriff übernimmt der Betrüger die Kontrolle über die Mobilfunknummer seines Opfers. Dies geschieht typischerweise durch Social Engineering beim Mobilfunkanbieter: Der Betrüger gibt sich als der Kontoinhaber aus und beantragt die Übertragung der Nummer auf eine neue SIM-Karte. Alternativ werden korrumpierte Mitarbeiter von Mobilfunkanbietern bestochen oder kompromittierte Online-Konten des Opfers beim Provider genutzt.
Sobald die Nummer unter Kontrolle des Betrügers ist, können alle per SMS versendeten Sicherheitscodes – insbesondere Zwei-Faktor-Authentifizierungscodes (2FA) – abgefangen werden. Dies ermöglicht den Zugriff auf E-Mail-Konten, Online-Banking, Kryptowährungs-Wallets und andere geschützte Dienste. Die Opfer bemerken den Angriff oft erst, wenn ihr Mobiltelefon den Empfang verliert – und zu diesem Zeitpunkt ist der Schaden bereits angerichtet.
Zum Schutz vor SIM-Swap-Angriffen empfehlen Sicherheitsexperten die Umstellung von SMS-basierter 2FA auf App-basierte Authentifizierung (z. B. Google Authenticator oder Authy) oder hardwarebasierte Sicherheitsschlüssel (z. B. YubiKey). Zudem sollten Sie bei Ihrem Mobilfunkanbieter eine zusätzliche PIN oder ein Passwort für Kontoänderungen einrichten.
Romance Scams
Romance Scams – Liebesbetrug über Dating-Plattformen und soziale Netzwerke – werden durch den Einsatz von KI immer professioneller und schwerer zu erkennen. Betrüger nutzen KI-generierte Profilbilder, die keiner realen Person zugeordnet werden können, und setzen Deepfake-Technologie für Videoanrufe ein, um ihre falsche Identität überzeugend aufrechtzuerhalten.
Die Methodik ist dabei über die Jahre verfeinert worden: Die Betrüger bauen über Wochen oder Monate eine emotionale Beziehung auf, bevor sie mit fingierten Notlagen – Krankheit, Unfälle, Reiseprobleme – um Geld bitten. Die psychologische Manipulation ist so effektiv, dass Opfer trotz Warnhinweisen aus ihrem Umfeld oft hohe Summen überweisen.
Im Jahr 2025 zeigt sich zudem ein neuer Trend: sogenannte Crypto-Romance-Scams, bei denen die Opfer nicht direkt um Geld gebeten, sondern dazu verleitet werden, in gefälschte Kryptowährungs-Plattformen zu investieren. Der Betrüger agiert dabei als vermeintlicher Investmentberater und demonstriert anfangs scheinbare Gewinne, um das Vertrauen des Opfers zu stärken, bevor die Plattform mitsamt dem investierten Kapital verschwindet.
Instant Payment Fraud
Die zunehmende Verbreitung von Echtzeit-Zahlungssystemen hat Betrügern neue Möglichkeiten eröffnet. Anders als bei herkömmlichen Banküberweisungen, bei denen Transaktionen unter Umständen noch storniert werden können, sind Instant Payments in Sekundenbruchteilen abgeschlossen und nahezu irreversibel.
Betrüger nutzen diese Eigenschaft gezielt aus: Sie drängen ihre Opfer zu sofortigen Überweisungen über Echtzeit-Zahlungssysteme, etwa durch gefälschte Rechnungen mit vermeintlich überfälligem Zahlungsziel, CEO-Fraud-Attacken mit angeblich dringenden Überweisungsanweisungen oder manipulierte Zahlungsinformationen bei Online-Käufen. Das zeitliche Fenster für die Erkennung und Verhinderung betrügerischer Transaktionen ist bei Instant Payments minimal, was herkömmliche Betrugspräventionssysteme vor neue Herausforderungen stellt.
Banken und Zahlungsdienstleister arbeiten an KI-gestützten Echtzeit-Betrugserkennungssystemen, die verdächtige Transaktionen in Millisekunden bewerten können. Doch die Betrüger passen ihre Methoden kontinuierlich an, um diese Systeme zu umgehen – ein ständiger Wettlauf zwischen Angreifern und Verteidigern.
Brushing
Brushing ist eine Betrugsform im E-Commerce, die auf den ersten Blick harmlos erscheint, aber weitreichende Konsequenzen haben kann. Betrügerische Händler versenden unaufgefordert Pakete an zufällige Adressen und erstellen anschließend unter dem Namen des Empfängers gefälschte Bewertungen auf Online-Marktplätzen. Ziel ist es, durch eine hohe Anzahl positiver Bewertungen das Ranking ihrer Produkte künstlich zu verbessern.
Für die Empfänger der unaufgeforderten Pakete bedeutet Brushing zunächst, dass ihre persönlichen Daten – Name und Adresse – in den Händen Dritter sind und missbraucht werden. In einigen Fällen werden unter den kompromittierten Konten nicht nur Bewertungen erstellt, sondern auch Bestellungen aufgegeben, für die das Opfer haftet.
Besonders problematisch ist, dass Brushing oft als Vorbote weiterer Betrugsaktivitäten dient: Die gesammelten Daten werden für Identitätsdiebstahl, die Erstellung gefälschter Konten oder gezielte Phishing-Angriffe verwendet. Wer unaufgefordert Pakete erhält, sollte daher seine Online-Konten überprüfen, Passwörter ändern und den Vorfall beim jeweiligen Online-Marktplatz melden.
Gefälschte Apps und mobile Malware
Mobile Geräte sind zu einem primären Angriffsziel für Betrüger geworden. Im Jahr 2025 hat die Verbreitung gefälschter Apps und mobiler Malware neue Höchststände erreicht. Betrügerische Apps tarnen sich als legitime Anwendungen – von Banking-Apps über VPN-Dienste bis hin zu Produktivitätstools – und erscheinen trotz verschärfter Kontrollen in offiziellen App-Stores.
Die Funktionsweise dieser schädlichen Apps ist vielfältig: Einige stehlen Zugangsdaten durch gefälschte Login-Bildschirme (Overlay-Angriffe), andere zeichnen Tastatureingaben auf, greifen auf die Kontaktliste zu oder aktivieren heimlich Kamera und Mikrofon. Besonders perfide sind sogenannte Fleeceware-Apps, die kostenlose Testphasen anbieten und anschließend exorbitante Abonnementgebühren berechnen, die schwer zu kündigen sind.
Eine weitere wachsende Bedrohung sind schädliche SDK-Bibliotheken, die in ansonsten legitime Apps eingebettet sind. Entwickler binden unwissentlich kompromittierte Software-Development-Kits ein, die dann im Hintergrund Daten sammeln oder Werbung einblenden. Diese Form der Supply-Chain-Attacke ist besonders schwer zu erkennen, da die betroffenen Apps von vertrauenswürdigen Entwicklern stammen.
Fazit: Wachsamkeit und Prävention als beste Verteidigung
Die Betrugslandschaft im Jahr 2025 ist vielfältiger, technologisch ausgereifter und schwerer zu durchschauen als je zuvor. Die zunehmende Integration von künstlicher Intelligenz in betrügerische Aktivitäten stellt Privatpersonen und Unternehmen vor neue Herausforderungen. Gleichzeitig eröffnen neue Zahlungstechnologien und die wachsende Digitalisierung aller Lebensbereiche zusätzliche Angriffsflächen.
Die folgenden sieben Handlungsempfehlungen helfen, das persönliche Risiko zu minimieren:
- QR-Codes mit Vorsicht behandeln: Scannen Sie keine QR-Codes aus unbekannten Quellen. Überprüfen Sie bei QR-Codes im öffentlichen Raum, ob diese möglicherweise überklebt wurden, und nutzen Sie QR-Scanner-Apps, die die Ziel-URL vor dem Öffnen anzeigen.
- Kritisch gegenüber KI-generierten Inhalten bleiben: Seien Sie skeptisch bei Video- und Audioanrufen, insbesondere wenn ungewöhnliche Anfragen gestellt werden. Verifizieren Sie die Identität des Gesprächspartners über einen separaten Kommunikationskanal.
- Zwei-Faktor-Authentifizierung stärken: Verwenden Sie App-basierte oder hardwarebasierte 2FA anstelle von SMS-basierter Authentifizierung. Richten Sie bei Ihrem Mobilfunkanbieter eine zusätzliche PIN für Kontoänderungen ein.
- Finanzielle Transaktionen verifizieren: Überprüfen Sie Zahlungsanweisungen grundsätzlich über einen zweiten Kommunikationskanal, besonders bei ungewöhnlich hohen Beträgen oder zeitlichem Druck.
- Software und Apps nur aus vertrauenswürdigen Quellen beziehen: Installieren Sie Apps ausschließlich aus offiziellen App-Stores und überprüfen Sie Bewertungen, Entwicklerinformationen und angeforderte Berechtigungen kritisch.
- Persönliche Daten schützen: Minimieren Sie die öffentlich verfügbaren Informationen über sich selbst in sozialen Medien. Jede Information kann von Betrügern für gezielte Angriffe genutzt werden.
- Kontinuierliche Weiterbildung: Halten Sie sich über aktuelle Betrugsmaschen auf dem Laufenden und teilen Sie dieses Wissen in Ihrem beruflichen und privaten Umfeld. Awareness ist die erste und oft wirksamste Verteidigungslinie.