Commerzbank und Deutsche Bank warnen vor QR-Code-Betrug per Post

Verbraucherschützer und Polizei schlagen Alarm: Immer mehr Kunden erhalten gefälschte Briefe ihrer Bank mit QR-Codes, die zu betrügerischen Websites führen. Die sogenannten “Quishing”-Angriffe nehmen zum Jahresende deutlich zu.

Während Deutschland sich auf den Jahreswechsel vorbereitet, erreicht eine neue Betrugswelle ihren Höhepunkt. Nicht per E-Mail, sondern per physischer Post fordern täuschend echte Schreiben angeblicher Banken wie der Commerzbank oder Deutschen Bank Kunden auf, QR-Codes zu scannen. Dahinter verbirgt sich eine raffinierte Falle, die Login-Daten und Transaktionsnummern abgreift. Die Verbraucherzentrale und Polizeibehörden melden seit Ende Dezember einen starken Anstieg dieser Fälle.

Der analoge Köder für den digitalen Raubzug

Das Besondere an der aktuellen Betrugswelle: Sie nutzt das Vertrauen in den klassischen Brief. Professionell gestaltete Schreiben mit Bank-Logo, korrekter Ansprache und dringlichem Ton suggerieren Seriosität. Der Inhalt ist stets alarmierend: Das PhotoTAN-Gerät sei “deaktiviert”, “ungewöhnliche Aktivitäten” lägen vor oder “Sicherheitsupdates” erforderten sofortiges Handeln. Andernfalls drohe die Kontosperrung.

Immer mehr Betrüger nutzen QR‑Codes in gefälschten Bankbriefen, um an Login, PIN und TAN zu kommen. Der kostenlose Anti‑Phishing‑Guide erklärt in 4 klaren Schritten, wie Sie gefälschte Sites erkennen, Ihr Smartphone und Online‑Banking schützen und welche Sofortmaßnahmen Sie ergreifen sollten. Mit praktischen Checklisten und Meldevorlagen für Bank und Polizei. Ideal für Privatpersonen und kleine Unternehmen, die sofort handeln wollen. Der Download ist kostenlos und kommt per E‑Mail. Jetzt das kostenlose Anti‑Phishing‑Paket herunterladen

Im Zentrum steht stets ein QR-Code. Die Aufforderung lautet, diesen mit dem Smartphone zu scannen, um die “Identität zu bestätigen” oder “Sicherheitsverfahren zu aktualisieren”. Genau hier liegt der Trick: Der Angriff springt vom potenziell geschützten Computer auf das oft weniger gesicherte Mobilgerät des Nutzers über.

So funktioniert der QR-Code-Betrug

Cybersicherheitsexperten und das Landeskriminalamt haben den Ablauf der Attacken analysiert:

1. Der Köder: Ein täuschend echter Brief trifft ein und weckt durch seriöses Auftreten Vertrauen.
2. Die Umleitung: Der QR-Code führt nicht zur echten Bank-Website, sondern zu einer perfekten Kopie.
3. Der Datenraub: Auf der Fake-Seite werden Login, PIN und aktuelle TANs abgefragt. Teilweise fordern die Betrüger sogar eine “Testüberweisung” oder die “Synchronisation” eines neuen TAN-Geräts – und erhalten so volle Kontrolle über das Konto.

Die Qualität der Fälschungen ist beunruhigend hoch. Die Briefe sind oft personalisiert, was auf den Missbrauch von Daten aus früheren Leaks hindeutet.

Breite Angriffswelle zum Jahresende

Die Banken-Briefe sind nur die Spitze des Eisbergs. Seit dem 29. Dezember warnen Verbraucherschützer auch vor ähnlichen Attacken auf Abonnenten von Streamingdiensten wie Disney+ und Spotify. Hier wird per E-Mail vor “Zahlungsproblemen” gewarnt, die eine “Aktualisierung der Zahlungsdaten” erfordern.

Die parallelen Kampagnen deuten auf koordinierte Aktionen krimineller Netzwerke hin. Sie nutzen bewusst die stressige Vorweihnachtszeit und den erhöhten Bankverkehr zwischen den Jahren aus, wenn viele Verbraucher unaufmerksamer sind.

Wie sich Banken und Kunden schützen

Die betroffenen Institute reagieren mit klaren Botschaften. Deutsche Bank und Commerzbank betonen auf ihren Sicherheitsportalen: Sie fordern Kunden niemals per unaufgefordertem Brief auf, Sicherheitsverfahren wie PhotoTAN oder BestSign über einen QR-Code zu reaktivieren.

Sicherheitsexperten raten zu vier einfachen Schutzmaßnahmen:

• Immer prüfen: Scannen Sie niemals unerwartet zugesandte QR-Codes. Prüfen Sie Nachrichten stattdessen im Online-Banking, nachdem Sie die offizielle Website oder App manuell aufgerufen haben.
• Daten schützen: Seriöse Banken fordern nie PINs oder TANs ein, um Konten über externe Links “freizuschalten”.
• Öffentliche Codes checken: Prüfen Sie QR-Codes im öffentlichen Raum auf aufgeklebte Sticker.
• Vorfall melden: Verdächtige Post sollte umgehend der Betrugsabteilung der Bank und der Polizei gemeldet werden.

Quishing bleibt 2026 eine große Gefahr

Experten prognostizieren, dass QR-Code-Phishing im kommenden Jahr weiter zunehmen wird. Da E-Mail-Filter immer besser werden, nutzen Kriminelle den “Medienbruch” zwischen Papier und Smartphone als Schwachstelle aus. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird voraussichtlich Richtlinien für den Umgang mit QR-Codes in der Finanzkommunikation veröffentlichen.

Die Botschaft zum 30. Dezember ist eindeutig: Jeder Brief Ihrer Bank, der sofortiges Handeln per QR-Code fordert, ist höchst verdächtig. Im Zweifel gilt: Lieber einmal zu viel nachfragen als einmal zu viel scannen.

PS: QR‑Code‑Phishing per Post ist besonders tückisch, weil es den Medienbruch zwischen Papier und Smartphone ausnutzt. Das kostenlose Anti‑Phishing‑Paket bietet eine 4‑Schritte‑Anleitung zur Erkennung, Prävention und Meldung von Angriffen, Beispiele aktueller Maschen und konkrete Vorlagen für Ihre Meldung an Bank und Polizei. Sofortmaßnahmen zum Schutz Ihres Kontos inklusive. Perfekt für alle, die sich schnell absichern wollen, ohne IT-Experte zu sein. Anti‑Phishing‑Paket gratis anfordern