Quishing und Smishing: Neue Betrugswelle im Weihnachtsgeschäft

Die Online-Einkäufe für Weihnachten laufen auf Hochtouren – und mit ihnen eine raffinierte Betrugsoffensive. Während klassische Phishing-Mails weiterhin kursieren, setzen Kriminelle im Dezember 2025 verstärkt auf „Quishing” (QR-Code-Phishing) und KI-gestützte SMS-Fallen. Die Kombination aus technischer Raffinesse und psychologischem Druck macht die Maschen besonders gefährlich.

Verbraucherzentralen und Sicherheitsbehörden registrieren eine deutliche Verschiebung der Angriffsmuster. Die Täter nutzen die emotionale Stresssituation der Paketempfänger gezielt aus. Das hohe Paketaufkommen vor den Feiertagen spielt ihnen in die Karten.

Beim Quishing nutzen Betrüger das hohe Vertrauen in QR-Codes aus. Im Gegensatz zu E-Mail-Links umgehen die Codes oft Spam-Filter – und die URL bleibt vor dem Scannen unsichtbar.

Das LKA Niedersachsen warnt vor einer besonders perfiden Variante: Kriminelle versenden physische Briefe im Namen bekannter Banken wie Volksbanken oder Commerzbank. Die professionell gestalteten Schreiben fordern Kunden unter Vorwänden wie „Sicherheitsupdates für TAN-Geräte” auf, einen QR-Code zu scannen. Wer folgt, landet auf einer Phishing-Seite und gibt sensible Bankdaten preis.

QR-Codes in Briefen, manipulierte Zahlungs-QRs an Ladesäulen und smishing-SMS sind derzeit besonders gefährlich. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android-Smartphones – inklusive Einstellungstipps gegen schadhafte Apps, sichere Zahlungsmethoden und wie Sie QR-Codes richtig prüfen, bevor Sie scannen. Die Schritt-für-Schritt-Anleitungen helfen, Schadsoftware, Abofallen und betrügerische Zahlungsseiten zu vermeiden. Gratis-Sicherheitspaket für Android herunterladen

Auch im öffentlichen Raum lauert die Gefahr. An E-Ladesäulen und Parkscheinautomaten überkleben Täter legitime QR-Codes mit eigenen Stickern. Wer schnell per Smartphone bezahlen will, überweist das Geld direkt an die Betrüger oder gibt Kreditkartendaten auf gefälschten Zahlungsportalen ein.

„Ihr Paket hängt fest”: SMS-Betrug explodiert

Pünktlich zum Endspurt der Weihnachtseinkäufe explodieren die Fallzahlen beim Smishing. Die Verbraucherzentrale NRW führt in ihrem aktuellen Phishing-Radar diverse Warnungen auf.

Die Masche ist simpel: Verbraucher erhalten eine SMS scheinbar von DHL, Hermes oder DPD. Der Text suggeriert ein Problem – „Zustellung fehlgeschlagen”, „Unvollständige Adresse” oder „Ausstehende Zollgebühren”. Da fast jeder Haushalt auf Lieferungen wartet, ist die Klickbereitschaft enorm hoch.

Neu ist die Qualität der Nachrichten. Dank KI-Tools sind die Texte grammatikalisch fehlerfrei und nutzen teilweise den RCS-Standard, um Logos und verifizierte Absenderkennungen vorzutäuschen. Ein Klick führt zur Installation von Schadsoftware oder in Abofallen, die über die Mobilfunkrechnung abgerechnet werden.

Fake-Shops werden professioneller

Das BSI warnt seit Ende November vor einer zunehmenden Professionalisierung von Fake-Shops. Kriminelle nutzen die hohe Nachfrage nach ausverkauften Trend-Geschenken – etwa Spielekonsolen oder gefragtem Spielzeug.

Die Qualität steigt: Fake-Shops kopieren nicht nur das Design realer Marken täuschend echt, sondern fälschen auch Impressumsangaben existierender Unternehmen. Ein klares Warnsignal bleibt jedoch die Zahlungsart.

Alarmsignale für Fake-Shops:
* Ausschließlich Vorkasse oder Sofortüberweisung für Neukunden
* Extrem niedrige Preise
* Countdown-Timer, die Zeitdruck erzeugen

KI als Brandbeschleuniger

Die aktuelle Bedrugslage unterscheidet sich durch den massiven Einsatz generativer KI. Sprachbarrieren, die früher Phishing-Versuche entlarvten, existieren kaum noch. KI-Modelle ermöglichen akzentfreie und kontextbezogene Nachrichten in jeder Sprache.

Die Täter nutzen die psychologische Komponente der Weihnachtszeit gezielt aus. Der Zeitdruck – „Das Paket muss vor dem 24. ankommen” – schaltet kritisches Denken aus.

Was Verbrauchern jetzt hilft

Experten erwarten, dass die Betrugswelle nach den Feiertagen nicht abebbt, sondern das Thema wechselt. Für Ende Dezember und Januar werden vermehrt vermeintliche Rückerstattungen („Refund Scams”) prognostiziert. Dabei geben sich Täter als Support-Mitarbeiter von Amazon oder PayPal aus.

Schutzmassnahmen:
* Niemals Links in unaufgeforderten SMS oder E-Mails öffnen
* Paketstatus immer manuell über die offizielle App oder Webseite prüfen
* Bei QR-Codes im öffentlichen Raum genau hinsehen: Ist der Code aufgeklebt oder Teil des Originalschilds?
* Im Zweifel auf das Scannen verzichten

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – Tipp 3 schließt eine oft übersehene Lücke bei QR-Bezahlungen und SMS-Anhängen. Der kostenlose Ratgeber zeigt in leicht verständlichen Schritten, wie Sie automatische App-Prüfungen aktivieren, sichere Zahlungsmethoden einrichten und verdächtige Links erkennen, bevor Sie reagieren. Perfekt, um Paketzustellungen und Online-Einkäufe sicher abzuwickeln. Jetzt Gratis-Ratgeber sichern