Quishing: Betrüger locken mit gefälschten Bankbriefen in die Falle

Eine neue, besonders perfide Betrugsmasche namens „Quishing“ versetzt deutsche Bankkunden in Alarmbereitschaft. Kriminelle verschicken täuschend echte Briefe, um über QR-Codes an Online-Banking-Daten zu gelangen. Verbraucherschützer warnen eindringlich vor dieser hybriden Angriffsmethode, die das Vertrauen in die klassische Post schamlos ausnutzt.

Die Täter setzen gezielt auf den höheren Vertrauensbonus eines physischen Briefes. Während verdächtige E-Mails oft im Spam-Filter landen, erreicht die Post die Empfänger in ihrer vermeintlich sicheren häuslichen Umgebung. Diese Strategie umgeht digitale Sicherheitsbarrieren geschickt. Die Professionalität der Fälschungen macht es Laien zunehmend schwer, den Betrug auf den ersten Blick zu erkennen.

So funktioniert die QR-Code-Falle

Die Masche ist simpel und effektiv. Opfer erhalten einen Brief, der im Design und Logo bekannten Instituten wie der Commerzbank oder Volksbanken Raiffeisenbanken gleicht. Als Vorwand dienen angebliche neue EU-Geldwäsche-Richtlinien, dringende Sicherheitsupdates oder eine notwendige Datenverifizierung.

Der entscheidende Haken: ein abgedruckter QR-Code. Die Aufforderung, diesen mit dem Smartphone zu scannen, leitet nicht auf die echte Bank-Website, sondern auf eine täuschend echte Phishing-Seite. Wer dort Zugangsdaten, Passwörter oder TANs eingibt, liefert sie direkt an die Kriminellen aus. Diese haben dann freie Hand auf dem Konto.

QR‑Codes in Briefen sind die neue Falle – ein einziger Scan kann Ihre Online‑Banking‑Daten preisgeben. Das kostenlose Anti‑Phishing‑Paket bietet eine leicht verständliche 4‑Schritte‑Anleitung, wie Sie Phishing‑Seiten erkennen, QR‑Code‑Risiken einschätzen und Konten schnell schützen. Inklusive Checkliste für Verdachtsfälle und konkreten Handlungsanweisungen, wie Sie Ihre Bank sicher kontaktieren. Jetzt kostenlosen Anti‑Phishing-Guide sichern

Aktuelle Warnungen und konkrete Fälle

Behörden verzeichnen eine Zunahme dieser Angriffe. Das Phishing-Radar der Verbraucherzentralen führt „Quishing“ bereits als etablierte Masche. Die Betrüger beschränken sich nicht nur auf Briefe, sondern manipulieren auch QR-Codes an Parkautomaten oder E-Ladesäulen.

Ein aktuelles Beispiel lieferte die Polizeiinspektion Stendal Anfang Februar 2026. Dort zirkulierten gefälschte Schreiben im Namen der Volksbanken Raiffeisenbanken, die gezielt Mieter einer Wohnungsbaugesellschaft ansprachen. Die Polizei betonte: Seriöse Banken fordern Kunden niemals per Brief auf, sensible Daten über QR-Codes zu bestätigen.

Schutz-Tipps: So erkennen Sie die Fälschung

Trotz professioneller Aufmachung gibt es Warnsignale. Experten raten zu besonderer Vorsicht bei:

• Unpersönlicher Anrede: Formulierungen wie „Sehr geehrte Kontoinhaberin“ statt des vollen Namens.
• Sprachlichen Fehlern: Oft verraten sich die Schreiben durch subtile Grammatik- oder Rechtschreibfehler.
• Druckaufbau: Drohungen mit sofortiger Kontosperrung oder Gebühren bei Nichterfüllung einer kurzen Frist.

Die wichtigste Regel: Scannen Sie niemals einen QR-Code aus einem unerwarteten Schreiben. Bei Verdacht kontaktieren Sie Ihre Bank immer über einen bekannten, offiziellen Weg – die Nummer auf Ihrer Bankkarte, die Banking-App oder die selbst in den Browser eingegebene Webadresse.

Analyse: Warum die hybride Gefahr so tückisch ist

„Quishing“ verbindet zwei Welten: die analoge und die digitale. Die Täter missbrauchen das Vertrauen in einen offiziellen Brief, um ihren digitalen Angriff vorzubereiten. Diese hybride Strategie ist oft erfolgreicher als reines E-Mail-Phishing.

Sicherheitsexperten sehen darin eine logische Folge verbesserter digitaler Abwehr. Kriminelle suchen neue Wege, um Spam-Filter zu umgehen. Der QR-Code dient als perfide Brücke – ein Scan genügt, um das Opfer aus der analogen Welt direkt in die digitale Falle zu lotsen.

Die Entwicklung ist besorgniserregend. Solange die Masche funktioniert, werden Betrüger sie weiter verfeinern. Für Verbraucher bleibt dauerhafte Wachsamkeit das oberste Gebot. Jede Aufforderung zur sofortigen Datenpreisgabe unter Druck ist ein starkes Indiz für Betrug. Im Zweifel gilt: Ignorieren und die Echtheit des Schreibens durch eigenen, proaktiven Bankkontakt klären.

PS: Sie sind unsicher, ob ein Schreiben echt ist? Der kostenlose Report zeigt typische Merkmale gefälschter Bankpost, erklärt, wie Sie QR‑Codes sicher prüfen und welche Sofortmaßnahmen bei Verdacht nötig sind. Holen Sie sich praxisnahe Tipps, die Datenverlust verhindern und Ihnen helfen, richtig zu reagieren. Anti‑Phishing‑Paket jetzt herunterladen