Mystery-Pakete nach Weihnachten: Gefahr durch QR-Codes

Unbestellte Lieferungen zu Jahresbeginn signalisieren Datenklau und dienen als Köder für gefährliche Quishing-Angriffe via QR-Code. Experten warnen vor der neuen Betrugsmethode.

Unbestellte Lieferungen nach den Feiertagen sind kein Zufall, sondern ein Zeichen für Datenklau und eine neue Phishing-Falle.

In diesen Tagen landen weltweit rätselhafte Pakete an Haustüren – genau dann, wenn die Rückflut der Weihnachtsgeschenke beginnt. Verbraucherschützer und IT-Sicherheitsexperten warnen vor einer neuen Welle sogenannter „Brushing“-Betrugsmaschen. Dabei versenden Händler, oft aus dem Ausland, unbestellte Waren an ahnungslose Empfänger. Der scheinbar harmlose Inhalt hat einen brisanten Hintergrund: Die Pakete beweisen, dass persönliche Adressdaten gestohlen wurden. Noch gefährlicher ist ein neuer Trend: Viele Sendungen enthalten QR-Codes, die zu betrügerischen Websites führen.

Das System hinter den unbestellten Paketen

Hinter den Lieferungen steckt ein ausgeklügeltes System zur Manipulation von Online-Bewertungen. Die Betreiber besorgen sich Namen und Adressen aus Datenlecks oder dem Darknet. Indem sie eine reale Ware an eine reale Adresse schicken, generieren sie eine gültige Sendungsverfolgungsnummer. Diese nutzen sie, um unter dem Namen des Empfängers gefälschte „verifizierte Kauf“-Bewertungen auf großen Handelsplattformen wie Amazon oder eBay zu hinterlassen. So pushen sie künstlich ihre Produktbewertungen und die Sichtbarkeit in den Suchergebnissen.

Die aktuelle Häufung der Fälle zu Jahresbeginn 2026 ist strategisch. Die Betrüger nutzen das Chaos der Rückgabezeit aus, in dem unerwartete Pakete weniger misstrauisch beäugt werden. Für die Empfänger ist die Ware rechtlich ein kostenloses Geschenk – sie müssen weder bezahlen noch zurückschicken. Die wahre Kosten sind jedoch anderer Natur.

Viele Android-Nutzer übersehen diese 5 einfachen Schutzmaßnahmen — gerade jetzt, wo Betrüger QR-Codes in Paketen nutzen, um Schadsoftware auf Smartphones zu schleusen. Der kostenlose Praxis‑Ratgeber erklärt Schritt für Schritt, wie Sie Ihr Gerät sicher konfigurieren, App‑Berechtigungen prüfen, automatische Prüfungen aktivieren und gefährliche Links erkennen. Inklusive Checklisten für Online-Shopping, Banking und Messenger, damit Quishing-Angriffe keine Chance haben. Jetzt gratis Sicherheitspaket für Android anfordern

Der QR-Code als physische Phishing-Falle

Was die aktuelle Betrugswelle besonders tückisch macht, ist eine zweite Angriffsstufe. In vielen Paketen finden sich nun Zettel mit dem Hinweis auf eine „Gewinnauszahlung“ oder „Rückgabeanweisungen“, die einen großen QR-Code zeigen. IT-Sicherheitsunternehmen wie F-Secure warnen vor dieser als „Quishing“ bekannten Methode, einer Kombination aus QR-Code und Phishing.

Wird der Code aus Neugier gescannt, landet der Nutzer auf einer gefälschten Website. Diese kann Passwörter abgreifen, Kreditkartendaten für angebliche Versandkosten abfragen oder Schadsoftware auf das Smartphone laden. Der geniale Trick der Betrüger: Sie verlagern den Phishing-Link aus der E-Mail in einen physischen Gegenstand. So umgehen sie effektiv E-Mail-Spamfilter und Sicherheitssoftware auf den Geräten.

Ein Paket als Alarmsignal für den Datenklau

Das Erhalten eines solchen Pakets ist mehr als nur lästig – es ist ein handfestes Indiz dafür, dass die eigenen personenbezogenen Daten gestohlen und im Umlauf sind. Um die Sendung adressieren zu können, benötigten die Absender den korrekten Vor- und Nachnamen sowie die aktuelle Postadresse. Diese Informationen stammen häufig aus umfangreichen Datenlecks.

Für Kriminelle ist die erfolgreiche Zustellung ein Qualitätsmerkmal. Die Adresse wird als „verifiziert“ markiert und kann in dunklen Foren gewinnbringend weiterverkauft werden – etwa für gezielten Identitätsdiebstahl oder betrügerische Anrufe. Das unerwünschte Paket ist somit der physische Beleg für eine digitale Sicherheitslücke.

So sollten Verbraucher reagieren

Verbraucherschützer geben klare Handlungsempfehlungen für den Fall des Falles:

1. QR-Codes niemals scannen. Die Neugierde, das Rätsel um den Absender zu lösen, spielt den Betrügern in die Hände. Jeder Code in der Verpackung sollte ignoriert werden.
2. Konten prüfen. Obwohl beim „Brushing“ der Betrüger zahlt, sollte man sicherheitshalber die eigenen E-Commerce-Konten und Kontoauszüge überprüfen, um unbefugte Bestellungen auszuschließen.
3. Plattform informieren. Liegt eine Sendungsnummer vor und der Absender scheint ein großer Online-Marktplatz zu sein, sollte man den Vorfall dem Kundenservice melden. So können betrügerische Verkäufer gesperrt werden.
4. Paketinhalt entsorgen. Die Ware darf behalten werden. Die Verpackung, insbesondere alle Papiere mit QR-Codes oder Links, sollte sicher im Restmüll entsorgt werden, um andere im Haushalt zu schützen.

Die Zukunft: KI-gesteuerter Betrug im großen Stil

Die Bedrohungslage wird sich 2026 voraussichtlich weiter verschärfen. Sicherheitsexperten prognostizieren, dass Künstliche Intelligenz (KI) eine größere Rolle spielen wird. Automatisierte „Shopping-Bots“ könnten das Erstellen von Konten, das Platzieren von Bestellungen und das Schreiben von Bewertungen massiv beschleunigen. Betrugskampagnen ließen sich dann in industriellem Maßstab durchführen.

Gleichzeitig werden die Plattformen ihre Algorithmen zur Bewertungsprüfung verschärfen. Die Betrüger werden darauf reagieren, indem sie ihre gefälschten Transaktionen authentischer aussehen lassen – etwa durch teurere Waren oder komplexere Lieferketten. Für Verbraucher bleibt die Grundregel: Unerwartete Pakete stets skeptisch betrachten, persönliche Daten schützen und nicht zulassen, dass Neugier zur Sicherheitslücke wird.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer — Tipp 3 schließt eine oft übersehene Lücke bei QR-Codes, die derzeit für Quishing missbraucht werden. Der kompakte Leitfaden zeigt praktische Einstellungen, wie Sie App‑Berechtigungen einschränken, verdächtige Webseiten sofort erkennen und automatische Sicherheitsprüfungen einrichten. Ideal für alle, die Online-Shopping, Konten und Messenger ohne Angst nutzen wollen. Gratis‑Sicherheitsratgeber für Android herunterladen