Unbestellte Pakete: Brushing-Betrug nutzt Weihnachts-Chaos

Unbestellte Pakete und gefälschte Zustellzettel überschwemmen derzeit deutsche Haushalte. Kriminelle kombinieren die „Brushing“-Masche mit QR-Code-Phishing, um an persönliche Daten zu gelangen.

Verbraucherschützer warnen am Weihnachtsmorgen vor einer neuen Welle dieser Betrugsversuche. Die Täter nutzen aktuelle Datenlecks, um gezielt Pakete mit gefälschten Rücksendeetiketten oder Abholbenachrichtigungen zu versenden. Immer öfter stecken in den Sendungen QR-Codes, die in eine Phishing-Falle führen.

Die perfide Kombination: Brushing trifft auf Quishing

Das klassische Brushing dient Händlern aus Fernost dazu, gefälschte positive Bewertungen auf Marktplätzen wie Amazon zu platzieren. Sie versenden dafür billige Ware an zufällige Adressen, die aus geleakten Datenbanken stammen. Für die Empfänger wirkt das zunächst wie ein harmloses Ärgernis.

Die Gefahr lauert heute jedoch im Detail: Viele dieser Pakete enthalten jetzt Zettel mit QR-Codes. Sie sollen angeblich für Support, Retouren oder Gewinnspiele gescannt werden. In Wirklichkeit handelt es sich um Quishing – Phishing über QR-Codes.

Passend zum Thema QR‑Code‑Phishing warnen Experten vor perfiden Fallen: Kriminelle tarnen Schadlinks als Rücksende- oder Abholcodes. Das kostenlose Anti‑Phishing‑Paket liefert eine 4‑Schritte-Anleitung, mit der Sie Phishing‑Links erkennen, Smartphones direkt sichern und gefälschte Websites entlarven. Inklusive sofort anwendbarer Checkliste für akute Fälle, Praxistipps gegen Social‑Engineering und Hinweise, wie Sie Konten sowie Lieferstatus sicher prüfen. Ideal für Verbraucher und kleine Unternehmen. Anti-Phishing-Paket jetzt herunterladen

So funktioniert die Smartphone-Falle

Wer den Code scannt, landet auf einer gefälschten Website. Diese kann:
* Login-Daten für Versanddienstleister oder Online-Shops abgreifen.
* Die Installation von Schadsoftware auf dem Smartphone auslösen.
* Kostenpflichtige Abos bestätigen, die über die Handyrechnung abgerechnet werden.

„Ein echter Paketzusteller verlangt keinen QR-Code-Scan für eine Neuzustellung“, warnt die Polizei. Die Betrüger setzen auf die Hektik der Feiertage, in der viele auf verspätete Geschenke warten und die Warnung leicht übersehen.

Datenlecks 2025 befeuern die Betrugswelle

Deutschland war in diesem Jahr besonders stark von Datenlecks betroffen. Sicherheitsanalysen platzierten die Bundesrepublik weltweit auf Rang vier der am stärksten betroffenen Länder. Millionen kombinierter Datensätze aus Namen, Adressen und Telefonnummern kursieren im Darknet und dienen als Grundlage für die gezielten Versendungen.

Die „Brushing“-Ware ist für die Kriminellen nur der Köder. Die eigentliche Rendite erhoffen sie sich durch den erfolgreichen Datenklau oder den Verkauf der gefälschten Bewertungen.

Das sollten Betroffene jetzt tun

Wenn ein unbestelltes Paket ankommt, ist Vorsicht geboten:
* Nicht bezahlen: Laut § 241a BGB besteht keine Zahlungs- oder Rücksendepflicht für unbestellte Ware.
* QR-Codes ignorieren: Scannen Sie keine beiliegenden Codes. Überprüfen Sie Sendungen stattdessen über die offizielle App oder Website des Zustellers – per manueller Eingabe der Sendungsnummer.
* Konten sichern: Ändern Sie vorsorglich Passwörter bei großen Online-Händlern und prüfen Sie Kontoauszüge.
* Vorfall melden: Informieren Sie den Marktplatz (z.B. Amazon), von dem die Sendung stammen soll.

Die Kombination aus physischem Warenversand und digitalem Datenklau markiert eine neue Stufe der Cyberkriminalität. Sie nutzt geschickt die Lücke zwischen unserer Online- und Offline-Welt aus – gerade dann, wenn die Aufmerksamkeit durch Festtagsvorbereitungen geschwächt ist.