Betrug zur Adventszeit: Wie QR-Codes zur Gefahr werden

Cyberkriminelle starten die größte Angriffswelle des Jahres. Die Masche: gefälschte Briefe im Briefkasten, manipulierte Parkautomaten und KI-perfekte Paket-SMS. Besonders eine Methode überrascht selbst Experten.

Pünktlich zum Weihnachtsgeschäft rollt eine koordinierte Betrugswelle über Deutschland und Österreich. Die neue Qualität: Angreifer verknüpfen die physische mit der digitalen Welt. Der TÜV-Verband und die Verbraucherzentralen schlugen gestern Alarm – die Angriffe nutzen gezielt Stress und Hektik der Adventszeit aus.

Der Brief im Kasten – täuschend echt

“Quishing” heißt die gefährlichste Entwicklung der letzten Tage. Kriminelle legen täuschend echte Briefe angeblicher Banken in physische Briefkästen. Die Masche: Ein abgedruckter QR-Code soll angeblich ein “dringendes Sicherheitsupdate” einleiten.

Wer scannt, landet auf einer gefälschten Webseite und gibt Zugangsdaten preis. Betroffen sind vor allem Sparkassen- und Deutsche-Bank-Kunden, warnt das Landeskriminalamt.

Gefälschte QR-Codes und KI-perfekte Paket-SMS machen Smartphones zur Einfallstür für Datendiebe. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android-Nutzer – von QR-Code-Checks über App-Rechte bis zu sicheren Bezahlvorgängen. Mit leicht verständlichen Schritt-für-Schritt-Anleitungen schützen Sie WhatsApp, Online-Banking und PayPal vor den gängigen Fallen. Ideal für Alltagsnutzer, die schnell und ohne Technik-Frust ihre Geräte absichern wollen. Jetzt kostenloses Sicherheitspaket für Android anfordern

Noch dreister wird es im öffentlichen Raum. Betrüger überkleben QR-Codes an Parkscheinautomaten und E-Ladesäulen mit eigenen Stickern. Wer hier per Smartphone bezahlt, übermittelt seine Kreditkartendaten direkt an die Täter.

Marc Fliehe vom TÜV-Verband: “Das Scannen von Codes ist zur gewohnten Routine geworden. Die URL-Vorschau auf Smartphones ignorieren viele.”

KI macht Fake-SMS perfekt

Parallel explodiert die Zahl gefälschter Paket-Benachrichtigungen per SMS. Der Unterschied zu früher: Dank generativer KI sind die Texte kaum noch von echten Nachrichten zu unterscheiden. Holpriges Deutsch gehört der Vergangenheit an.

Die häufigsten Köder:
* “Ihr Paket konnte nicht zugestellt werden”
* “Zahlung für Disney+ fehlgeschlagen”
* “Verdächtige Aktivität auf Ihrem Konto”

Die Links führen zu Schadsoftware, die im Hintergrund massenhaft kostenpflichtige SMS versendet. Einzelne Opfer berichteten von Telefonrechnungen über mehrere hundert Euro – nach nur einem Klick.

Die KI-Stimme am Telefon

Eine neue Dimension erreicht das “Vishing” (Voice Phishing). Betrüger nutzen KI-Stimmenklone, um Bankmitarbeiter oder Familienangehörige zu imitieren. Die Polizei warnt aktuell vor Anrufen wegen angeblich “verdächtiger Abbuchungen”.

Professionelles Vokabular, Hintergrundgeräusche aus einem Callcenter und geschickt aufgebauter Zeitdruck sollen Opfer zur Freigabe von Transaktionen drängen.

Warum 2025 anders ist

Die Klickrate auf Phishing-Köder hat sich 2024 fast verdreifacht. Dieser Trend setzt sich fort. Drei Faktoren machen die aktuelle Welle so gefährlich:

• Hybride Angriffe: Die Kombination aus analogem Brief und digitalem Betrug umgeht Spam-Filter und Virenscanner
• KI-Automatisierung: Angreifer skalieren personalisierte Kampagnen in Echtzeit
• Saisonale Psychologie: Wer auf fünf Pakete wartet, klickt schneller auf “Zustellproblem”-Links

Das Bundesamt für Sicherheit in der Informationstechnik bestätigt: Phishing und der Diebstahl digitaler Identitäten bleiben die Top-Bedrohungen für Verbraucher.

Die kritischen zwei Wochen

Experten rechnen in den kommenden 14 Tagen mit dem Höhepunkt der Angriffswelle. Besonders kritisch werden die Tage vor dem 24. Dezember. Dann dienen “Last-Minute-Geschenke” und vermeintliche Express-Zuschläge als Köder.

Parallel steigt die Zahl von Fake-Shops, die ausverkaufte Elektronikartikel zu unrealistischen Preisen anbieten.

Der Drei-Sekunden-Schutz

Diese Sofortmaßnahmen empfehlen Sicherheitsexperten:

• QR-Codes kritisch prüfen: Bei Briefen erst über die offizielle Webseite nachfragen. Bei Parkautomaten auf überklebte Sticker achten
• Der Atemzug-Test: Bei Mails mit Handlungsdruck (“Sofort”, “Konto wird gesperrt”) durchatmen. Seriöse Anbieter setzen keine SMS-Ultimaten
• App statt Link: Sendungsverfolgung nur über offizielle Apps der Paketdienstleister
• Absender entlarven: In Mails auf den Absendernamen tippen – kryptische Adressen sind Warnsignale

Die Adventszeit bleibt für Cyberkriminelle die lukrativste Phase des Jahres. Doch wer die neuen Maschen kennt, kann sich schützen.

PS: Sie wollen nicht mehr auf verdächtige Links und gefälschte SMS hereinfallen? Der gratis-Ratgeber zeigt, welche Einstellungen Sie an Ihrem Android-Gerät prüfen sollten, wie Sie QR-Codes sicher handhaben und welche App-Rechte Sie einschränken müssen. Inklusive praktischer Checkliste für schnelle Sicherheits-Checks vor dem Scannen – so reduzieren Sie das Risiko von Datenklau und kostenpflichtigen Fallen. Gratis-Ratgeber: 5 Schutzmaßnahmen für Android herunterladen