Kleinanzeigen: QR-Code-Betrug überschwemmt Weihnachtsgeschäft

Die letzten Weihnachtseinkäufe werden zur Falle: Kriminelle nutzen gefälschte QR-Codes auf Kleinanzeigen, um Konten leerzuräumen. Behörden warnen vor einer Welle von “Quishing”-Attacken.

“Sicher bezahlen” als Einfallstor für Betrüger

Während das Weihnachtsgeschäft auf Kleinanzeigen seinen Höhepunkt erreicht, schlagen Cybersicherheitsexperten und Verbraucherschützer Alarm. Eine raffinierte Betrugswelle mit manipulierten QR-Codes – sogenanntes “Quishing” – zielt aktuell auf Nutzer der Plattform ab. Die Täter nutzen gezielt die Weihnachtshektik und das Vertrauen in die “Sicher bezahlen”-Funktion aus.

“Die Täter machen sich den Vorweihnachtsstress zunutze”, warnt ein Sprecher des Landeskriminalamts (LKA). Nutzer seien in der Eile weniger wachsam und würden QR-Codes in Chats oft ungeprüft scannen. Die Verbraucherzentrale Niedersachsen und Polizeibehörden melden einen dramatischen Anstieg der Fälle in den letzten 72 Stunden.

So funktioniert der QR-Code-Betrug

Die Angriffe folgen einem ausgeklügelten Muster, das Sicherheitsforscher zwischen dem 15. und 22. Dezember dokumentiert haben:

1. Kontaktaufnahme: Betrüger geben sich als seriöser Käufer oder Verkäufer aus und bauen mit höflicher Kommunikation Vertrauen auf.
2. Vorwand: Sie behaupten, “Sicher bezahlen” nutzen zu wollen, verweisen aber auf angebliche technische Probleme oder neue Verifizierungsschritte.
3. QR-Code-Falle: Statt eines verdächtigen Links – den die Plattformfilter erkennen würden – senden sie einen QR-Code im Chat. Die Opfer werden aufgefordert, diesen mit ihrer Banking-App zu scannen.
4. Kontenzugriff: Der Code leitet auf täuschend echte Fake-Seiten von Banken oder Kleinanzeigen. Eingegebene Login-Daten oder autorisierte “Test-Überweisungen” geben den Tätern sofortigen Zugriff.

In einem besonders schweren Fall verlor ein Nutzer fast 5.000 Euro, nachdem er einen Code für den Verkauf einer Laptoptasche gescannt hatte. Was als Verifizierungsschritt gedacht war, entpuppte sich als Freibrief für mehrere Abbuchungen.

Gefälschte QR-Codes und “Quishing” führen oft innerhalb weniger Klicks zu Kontozugriffen – Betroffene berichten von Verlusten in Tausenderhöhe. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie gefälschte Zahlungsseiten erkennen, sichere Verifizierungswege nutzen und sofort reagieren, wenn Verdacht besteht. Praktische Checkliste für Kleinanzeigen‑Nutzer und Screenshots typischer Betrugsseiten inklusive. Sofort umsetzbar, auch ohne Technik‑Kenntnisse. Der Download ist gratis und kommt per E‑Mail. Jetzt Anti-Phishing-Paket herunterladen

Warum QR-Codes so gefährlich sind

Der Wechsel zu QR-Codes markiert eine neue Stufe des digitalen Betrugs. Während Sicherheitssysteme Text-Links analysieren können, bleiben QR-Codes für Chat-Filter zunächst nur Bilder. Die Schadsoftware wird erst auf dem Gerät des Opfers aktiv.

“Wir sind darauf trainiert, QR-Codes für Speisekarten oder Tickets zu scannen”, erklärt ein Cybersicherheitsexperte in einem Bericht von Chip.de. “Das senkt unsere innere Wachsamkeit.” Auf Smartphones erschwert der mobile Browser zudem die Prüfung der Webadresse – subtile Fälschungen wie kleinanzeigen-sicher.de fallen kaum auf.

Reaktionen und Folgen für den Marktplatz

Kleinanzeigen selbst warnt in aktualisierten Hilfetexten deutlich: “Sie müssen niemals einen externen QR-Code scannen, um einen Verkauf abzuschließen.” Das echte “Sicher bezahlen” läuft vollständig innerhalb der Chat-Oberfläche ab.

Doch die täuschend echten Fake-Seiten mit Live-Chat-Bots und dynamischen Animationen überlisten auch technikaffine Nutzer. Analysten befürchten, dass das schwindende Vertrauen den gesamten Peer-to-Peer-Markt beeinträchtigen könnte. Bei hochpreisigen Transaktionen könnte es einen Rückzug zu Barzahlung bei Abholung geben.

So schützen Sie sich sofort

Behörden und Verbraucherschützer empfehlen dringend diese Maßnahmen:

• Keine Chat-Codes scannen: Jeder von Fremden gesendete QR-Code ist potenziell gefährlich.
• Webadressen prüfen: Echte Kleinanzeigen-Seiten nutzen ausschließlich die Domain kleinanzeigen.de.
• Bankdaten geheim halten: Ein Käufer benötigt nie Ihre Kreditkartennummer oder Login-Daten für Überweisungen.
• Verdächtiges melden: QR-Code-Versender sollten sofort dem Kleinanzeigen-Support gemeldet werden.

Ausblick: Der Wettlauf geht weiter

Für 2026 erwarten Experten, dass Plattformen KI-gestützte Bilderkennung in ihre Chat-Filter integrieren, um QR-Codes automatisch zu blockieren. Bis dahin bleibt der menschliche Faktor die wichtigste Verteidigungslinie.

Die Polizei bleibt auch in den Tagen nach Weihnachten in erhöhter Alarmbereitschaft. Denn ab dem 26. Dezember beginnt traditionell der Verkauf unerwünschter Geschenke – ein neues Betätigungsfeld für Betrüger. Skepsis gegenüber jedem Abweichen vom Standardablauf der Plattform ist der beste Schutz.

PS: Sie verkaufen oder kaufen über Kleinanzeigen? Dann lernen Sie in diesem Gratis-Report die psychologischen Tricks der Täter kennen und erhalten eine praktische Gegencheckliste für jeden QR-Code. Der Report zeigt außerdem, wie Sie Meldungen wirksam an die Plattform und Polizei weitergeben, damit andere geschützt werden. Plus: Konkrete Formulierungen für die Meldung, mit denen Support und Ermittler schneller reagieren können. Anti‑Phishing-Paket gratis anfordern