Post-Betrüger nutzen QR-Codes für Kreditkartenklau

Eine neue Betrugswelle mit gefälschten Post-Rechnungen überflutet den deutschsprachigen Raum. Sicherheitsbehörden warnen vor „Quishing“ – einer perfiden Kombination aus QR-Codes und Phishing, die auf Kreditkartendaten abzielt.

So funktioniert die QR-Code-Falle

Die Masche beginnt oft auf Online-Marktplätzen. Betrüger kontaktieren Kaufinteressenten und schicken ein täuschend echtes Foto einer Post-Rechnung als angeblichen Versandnachweis. Der Clou: Ein QR-Code auf dem Dokument.

Angesichts der raffinierten Quishing-Methoden ist ein Basisschutz für mobile Endgeräte unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Smartphone effektiv gegen Viren und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Wer ihn scannt, landet nicht bei der Post, sondern auf einer gefälschten Zahlungsseite. Dort werden Kreditkartendaten inklusive der geheimen Prüfziffer (CVV) abgefragt. Verbraucherschützer warnen: Die Täter setzen gezielt auf Zeitdruck. Sie behaupten, die Zahlung müsse binnen Minuten bestätigt werden, sonst gehe das Paket zurück.

Jetzt auch im Briefkasten: Physische Post als Trojaner

Seit Ende März tauchen zudem massenhaft betrügerische Briefe in Hausbriefkästen auf. Sie geben sich als Banken oder Postdienstleister aus und nutzen regulatorische Änderungen als Vorwand. Der Verband der Volksbanken warnte bereits Ende März vor dieser Masche.

Diese Briefe sind besonders tückisch, weil sie persönlich adressiert sind und oft korrekte Bankdaten enthalten. Das deutet auf vorangegangene Datenlecks hin. Der QR-Code darin kann nicht nur Daten stehlen, sondern bei Android-Nutzern auch Schadsoftware installieren. Diese Apps fangen dann Banking-TANs ab.

Warum Antiviren-Programme oft versagen

Herausfordernd ist die Technik: Herkömmliche Sicherheitssoftware erkennt QR-Codes nur als Bild. Die dahinterliegende bösartige URL wird erst beim Scannen sichtbar. Die Betrüger nutzen zudem dynamische Codes und Kurz-URLs, die sich ständig ändern.

Da herkömmliche Sicherheitssoftware bei modernen QR-Code-Fallen oft an ihre Grenzen stößt, empfehlen IT-Experten zusätzliche Sicherheitsvorkehrungen. Erfahren Sie in diesem Gratis-Leitfaden, wie Sie WhatsApp, PayPal und Online-Banking auf Ihrem Android-Gerät dauerhaft vor Hackern schützen. Kostenlosen Sicherheits-Ratgeber herunterladen

Ein weiterer Trick: „Cloaking“. Die betrügerische Seite prüft, ob ein echtes Smartphone oder ein Sicherheitstool sie aufruft. Nur im ersten Fall wird die Falle ausgespielt. Das erschwert die Verfolgung massiv.

So schützen Sie sich vor Quishing

Experten raten zu grundsätzlichem Misstrauen. Seriöse Unternehmen fordern nie sensible Daten per QR-Code ein. Diese Tipps helfen:

• Offizielle Apps nutzen: Sendungen immer über die verifizierte Post- oder DHL-App tracken.
• URL checken: Vor dem Öffnen die Vorschau der QR-Code-Adresse prüfen. Schon kleine Abweichungen von der Original-Domain sind alarmierend.
• Messenger ignorieren: Zahlen Sie nie aufgrund von Rechnungsfotos aus WhatsApp oder Telegram.
• 2FA aktivieren: Zwei-Faktor-Authentifizierung bietet einen wichtigen Schutz.

Wer bereits Daten eingegeben hat, sollte sofort die Kreditkarte sperren lassen und Anzeige bei der Polizei erstatten. Bei Verdacht auf Schadsoftware kann ein Werksreset des Smartphones nötig sein.

Die Zukunft: Immer personalisiertere Angriffe

Die aktuelle Welle markiert einen Trendwechsel. Cyberkriminelle setzen nicht mehr auf Masse, sondern auf hochgradig personalisierte, hybride Angriffe. Experten rechnen für 2026 mit einer weiteren Zunahme solcher Methoden, die physische Post, KI-generierte Texte und mobile Sicherheitslücken kombinieren.

Bis die Branche mit besseren Sicherheitsmerkmalen auf Dokumenten reagiert, bleibt die Wachsamkeit der Nutzer der beste Schutz.

boerse | 69051678 |