Sparda-Bank warnt vor QR-Code-Betrug per Post

Eine neue Betrugswelle mit täuschend echten Briefen bedroht derzeit Konten von Bankkunden in Deutschland. Die sogenannte „Quishing“-Masche kombiniert postalische Schreiben mit QR-Codes, um an Online-Banking-Daten zu gelangen. Verbraucherschützer und Polizei schlagen Alarm.

So funktioniert der mehrstufige Angriff

Die Täter versenden Briefe, die im Design der Sparda-Bank oder anderer Institute täuschend echt wirken. Darin wird unter einem Vorwand – etwa zur angeblichen Abwendung einer Kontosperrung – zum Scannen eines QR-Codes aufgefordert. Dieser führt jedoch nicht zur echten Bank-Website, sondern zu einer perfekten Fälschung. Dort werden Zugangsdaten wie PIN, NetKey und Alias abgegriffen.

Doch damit nicht genug: Oft kontaktieren die Betrüger ihre Opfer im Anschluss telefonisch. Sie geben sich als Bankmitarbeiter aus und überreden die Verunsicherten dazu, Transaktionen freizugeben oder eine digitale Karte in der Banking-App zu aktivieren. Mit dieser können sie dann über Apple Pay oder Google Pay das Konto plündern – ohne je die physische Karte in der Hand gehalten zu haben.

QR-Codes in scheinbar echten Bankbriefen sind oft der Einstieg für raffinierte Phisher – und viele Betroffene bemerken den Schaden erst, wenn es zu spät ist. Das kostenlose Anti-Phishing-Paket bietet eine klare 4‑Schritte-Anleitung, wie Sie gefälschte Links erkennen, sensible Daten schützen und sich gegen telefonische Nachfassversuche wappnen. Praktisch für Privatpersonen und Unternehmen, die sich schnell gegen Quishing & Co. absichern wollen. Jetzt Anti‑Phishing‑Paket kostenlos herunterladen

Warum der Brief so gefährlich ist

Während viele Nutzer für Phishing-Mails sensibilisiert sind, wirkt der traditionelle Brief vertrauenswürdiger. „Die Kombination aus seriös wirkendem Schreiben und der Bequemlichkeit des QR-Codes ist perfide“, warnt ein Sprecher der Verbraucherzentrale. Die Codes sind aus dem Alltag nicht mehr wegzudenken, doch ihr Inhalt bleibt unsichtbar – ein ideales Werkzeug für Kriminelle.

Die Landeskriminalämter beobachten, dass die Masche auch beyond Banking eingesetzt wird, etwa bei gefälschten „Strafzetteln“ oder manipulierten Codes an E-Ladesäulen.

So schützen Sie sich vor Quishing

Die Sparda-Bank und andere Institute betonen: Sie fordern Kunden niemals per Post, E-Mail oder Telefon auf, sensible Daten über einen link oder QR-Code preiszugeben. Bei verdächtiger Post gilt:

• Nicht reagieren: Scannen Sie den QR-Code unter keinen Umständen.
• Bank direkt kontaktieren: Rufen Sie Ihre Filiale über die bekannte Nummer an – niemals über Kontaktdaten aus dem verdächtigen Schreiben.
• Zugang sofort sperren: Falls Sie bereits Daten eingegeben haben, sperren Sie umgehend Online-Banking und Karten unter der 116 116.
• Anzeige erstatten: Melden Sie den Versuch bei der Polizei.

Letztlich ist die Wachsamkeit jedes Einzelnen der beste Schutz. Bei unerwarteter Post mit dringlichen Aufforderungen sollte stets Misstrauen der erste Impuls sein.