Smartphone-Betrug ist 2026 deutlich zielgerichteter geworden: Kriminelle kopieren das Auftreten von Banken, Paketdiensten und sogar Behörden und setzen dabei auf Tempo, Angst und Gewohnheit. Die gute Nachricht: Moderne Android- und iOS-Geräte bringen bereits starke Sicherheitsfunktionen mit, und mit ein paar praktischen Einstellungen lässt sich das Risiko, Geld zu verlieren oder Accounts preiszugeben, massiv reduzieren. Dieser Leitfaden konzentriert sich auf drei reale Bedrohungen, die Alltagsnutzer betreffen: Caller-ID-Spoofing, QR-Code-Scams und gefälschte Apps – plus die konkreten Sicherheitsoptionen, die wirklich etwas bringen.
Caller-ID-Spoofing und Fake-SMS: So sieht das 2026 in der Praxis aus
Beim Caller-ID-Spoofing täuscht ein Betrüger eine Telefonnummer vor, die auf Ihrem Display wie eine vertrauenswürdige Nummer aussieht – etwa die Ihrer Bank oder eines Lieferdienstes. Das Ziel ist, Ihre Aufmerksamkeit und Ihr Vertrauen auszunutzen: Wenn Name oder Nummer bekannt wirken, sinkt die Vorsicht. 2026 kombinieren Angreifer solche Anrufe sehr häufig mit nachfolgenden SMS, die die Geschichte scheinbar „bestätigen“, etwa als angebliche Betrugswarnung oder als Hinweis auf eine vermeintlich fehlgeschlagene Zustellung.
Ein typisches Muster ist künstlicher Zeitdruck. Ihnen wird gesagt, dass „gerade jetzt“ eine verdächtige Überweisung läuft und Sie sofort handeln müssen – meist durch „Verifizierung“ Ihrer Daten oder durch einen Klick auf einen Link, um etwas zu „stornieren“. Sehr verbreitet ist zudem das sogenannte „Code-Abgreifen“: Der Anrufer gibt sich als Bankmitarbeiter aus und bittet Sie, einen Einmalcode vorzulesen, den Ihre Bank gerade geschickt hat. Dieser Code dient jedoch fast immer dem Login – nicht dem Stoppen von Betrug.
Die wichtigste Regel lautet: Der angezeigte Name oder die Nummer ist kein Beweis. Behandeln Sie jeden Anruf oder jede SMS als verdächtig, wenn Sie zu schnellem Handeln gedrängt werden, besonders wenn Codes, Kartendaten, Passwörter oder Fernzugriff auf Ihr Telefon verlangt werden. Wenn Sie unsicher sind, beenden Sie das Gespräch und kontaktieren Sie das Unternehmen über eine offiziell bekannte Nummer – z. B. von der Rückseite Ihrer Bankkarte, aus der offiziellen App oder über die echte Website.
Konkrete Schutzmassnahmen gegen Spoofing-Anrufe und Smishing
Beginnen Sie mit Anruf- und SMS-Filterung. Auf dem iPhone können Sie „Unbekannte Anrufer stumm schalten“ aktivieren (Einstellungen → Telefon), um Störungen durch Nummern zu reduzieren, die nicht in Ihren Kontakten sind. Zusätzlich hilft „Unbekannte Absender filtern“ (Einstellungen → Nachrichten), um verdächtige Nachrichten zu trennen. Auf Android aktivieren Sie den Spam-Schutz in den Apps „Telefon“ und „Nachrichten“ (der genaue Menüpfad hängt vom Hersteller ab, häufig unter „Spam- und Anrufer-ID“ oder „Spamschutz“). Diese Filter sind nicht perfekt, aber sie blockieren viele offensichtliche Betrugsversuche.
Konzentrieren Sie sich als Nächstes auf das, was Betrüger wirklich brauchen. Die meisten Angriffe über Telefon und SMS zielen auf Einmalcodes, Passwörter oder direkten Zugriff auf Ihr Gerät. Geben Sie niemals 2FA-Codes am Telefon weiter – auch nicht, wenn die Person behauptet, von der Bank zu sein. Banken und Lieferdienste benötigen Ihre Codes nicht. Wenn Sie einen Sicherheitscode erhalten, den Sie nicht selbst angefordert haben, ist das ein Warnsignal: Jemand versucht, sich in Ihr Konto einzuloggen.
Sichern Sie ausserdem Ihre Wiederherstellungskanäle und Ihre SIM-Karte. Nutzen Sie eine starke SIM-PIN (Ihr Mobilfunkanbieter kann helfen) und schützen Sie besonders Ihr E-Mail-Konto, weil es häufig für Passwort-Resets genutzt wird. Wenn Ihr Anbieter zusätzliche Sicherheitsoptionen wie Port-Out-Sperren oder ein Kundenkennwort anbietet, aktivieren Sie diese. Solche Massnahmen reduzieren SIM-Swap-Risiken, die oft mit Spoofing-Anrufen und betrügerischen SMS kombiniert werden.
QR-Code-Scams: Wie Kriminelle „bequeme“ Codes missbrauchen
QR-Codes sind überall: in Cafés, an Parkautomaten, bei E-Scootern, auf Plakaten, auf Zustellkarten oder sogar an Eingängen. Genau diese Normalität nutzen Betrüger aus. Ein QR-Scam funktioniert meist so, dass ein legitimer Code durch einen bösartigen ersetzt wird oder ein Sticker über den echten Code geklebt wird. Beim Scannen landen Sie dann auf einer gefälschten Zahlungsseite, einer falschen Login-Seite oder bei einem Download, der Schadsoftware installiert.
2026 konzentrieren sich viele QR-Betrügereien auf kleine Alltagszahlungen. Parkautomaten sind ein häufiger Angriffspunkt: Der Fake-QR führt zu einer Seite, die wie ein echter Parkdienst aussieht und Kartendaten abfragt. Ein weiteres Muster ist der QR-Code auf einer „Zustellung verpasst“-Karte oder einem Poster, das behauptet, Sie müssten Ihre Adresse „bestätigen“ oder eine „kleine Gebühr“ zahlen, um eine Zustellung zu verschieben. Die Beträge sind bewusst niedrig, weil viele Menschen bei kleinen Summen weniger vorsichtig sind.
Das Risiko ist nicht der QR-Code selbst, sondern der Link, den er öffnet. Ein QR-Code kann jede URL enthalten – auch solche, die fast korrekt wirken, aber Buchstaben vertauschen, ungewöhnliche Subdomains nutzen oder täuschende Bindestriche enthalten. Manche Angriffe leiten zudem zu Seiten weiter, die Apple-ID-, Google- oder Banking-Logins abfragen, um Zugangsdaten zu stehlen.
Sicher scannen: Gewohnheiten und Einstellungen, die wirklich helfen
Prüfen Sie den Link immer, bevor Sie ihn öffnen. iOS und Android zeigen beim Scannen in der Regel eine Vorschau der URL. Lesen Sie diese bewusst: Achten Sie auf Tippfehler, ungewöhnliche Domain-Endungen oder Adressen, die nicht zur echten Organisation passen. Wenn Sie am Parkautomaten zahlen oder im Café bestellen, ist es oft sicherer, die offizielle App zu nutzen oder die Webadresse manuell einzugeben statt einen Sticker zu scannen.
Nutzen Sie einen Browser mit starken Anti-Phishing-Funktionen und halten Sie ihn aktuell. Moderne Browser erkennen viele bekannte Phishing-Seiten – aber nur, wenn sie auf dem neuesten Stand sind. Wenn Ihr Browser oder Ihr Gerät „Safe Browsing“ oder ähnliche Schutzfunktionen anbietet, lassen Sie diese aktiviert. Vermeiden Sie ausserdem separate „QR-Scanner“-Apps, die unnötige Berechtigungen verlangen. Die Kamera-App und integrierte Scanner-Funktionen sind meist sicherer.
Seien Sie besonders kritisch, wenn ein QR-Code einen Download startet oder Sie auffordert, sofort eine App zu installieren. Ein Restaurantmenü sollte keinen Zugriff auf Kontakte benötigen und keine „Viewer“-App verlangen. Wenn ein QR-Code zu einem Apple-, Google-, Bank- oder Lieferdienst-Login führt, stoppen Sie und prüfen Sie die Echtheit, indem Sie die offizielle App direkt öffnen oder die Adresse aus Ihren gespeicherten Lesezeichen aufrufen.
Fake-Apps und riskante Berechtigungen: So erkennen und verhindern Sie sie
Gefälschte Apps gehören zu den gefährlichsten mobilen Bedrohungen, weil sie Passwörter stehlen, SMS abfangen, Zahlungsdaten auslesen oder täuschend echte Login-Masken anzeigen können. 2026 ahmen Kriminelle häufig Banking-Apps, Krypto-Wallets, Zustell-Tracking, angebliche „Zollzahlungs“-Apps oder beliebte Tools wie Dokumentenscanner nach. Viele dieser Apps werden über Anzeigen, Social-Media-Posts oder Nachrichten verteilt, die direkt zu einem Download führen.
Selbst wenn eine App im App-Store zu finden ist, sollten Sie Authentizitätssignale prüfen. Fake-Apps erscheinen oft unter Namen, die echten Marken sehr ähnlich sind, mit Logos, die kaum zu unterscheiden sind. Viele Betrüger setzen auf hektische Nutzer, die auf „Installieren“ tippen, ohne den Herausgeber zu prüfen. Das häufigste Warnsignal ist ein Widerspruch zwischen dem Zweck der App und den verlangten Berechtigungen.
Berechtigungen sind das Kontrollzentrum Ihres Telefons. Eine Taschenlampen-App braucht keinen Zugriff auf SMS. Eine „Paketverfolgung“ benötigt keine Bedienungshilfen-Berechtigungen. Ein angebliches „Sicherheits-Tool“ sollte niemals verlangen, Ihren Bildschirm auszulesen oder Ihr Gerät zu steuern. Sobald ein Angreifer Zugriff auf Bedienungshilfen erhält, kann er häufig Eingaben beobachten und andere Apps bedienen – inklusive Banking-Apps.
Sicherheits-Einstellungen: Unbekannte Quellen, Passwortmanager und 2FA
Blockieren Sie Installationen aus unbekannten Quellen, ausser Sie haben einen sehr konkreten Grund, sie zu erlauben. Auf Android sollten Sie „Unbekannte Apps installieren“ für Browser und Messenger deaktiviert lassen, weil das der häufigste Weg für Betrug ist. Wenn Sie ausnahmsweise manuell installieren müssen, prüfen Sie die Quelle doppelt und schalten Sie die Berechtigung danach wieder aus. Auf dem iPhone ist das System standardmässig restriktiver – und das ist aus Sicherheitsgründen ein Vorteil.
Nutzen Sie einen Passwortmanager und stellen Sie, wo möglich, auf stärkere 2FA-Methoden um. Ein Passwortmanager hilft doppelt: Er erzeugt einzigartige Passwörter und reduziert das Risiko, dass Sie Daten auf einer Fake-Seite eintippen, weil er auf der falschen Domain meist nicht automatisch ausfüllt. Bei 2FA sind Authenticator-Apps oder Passkeys vorzuziehen. SMS-Codes sind besser als nichts, lassen sich aber leichter abfangen und werden häufig in Verbindung mit SIM-Angriffen missbraucht.
Überprüfen Sie App-Berechtigungen mindestens einmal pro Monat – besonders bei Apps, die Sie selten nutzen. Auf iOS finden Sie das unter Einstellungen → Datenschutz & Sicherheit, auf Android meist unter Einstellungen → Datenschutz → Berechtigungsmanager (Bezeichnungen variieren je nach Version). Entfernen Sie Rechte, die nicht zum Zweck der App passen. Kontrollieren Sie auch die Bedienungshilfen und entfernen Sie Apps, denen Sie nicht hundertprozentig vertrauen, da dieser Bereich besonders häufig für Betrug ausgenutzt wird.
