Das FBI schlägt Alarm: Betrüger versenden Pakete mit manipulierten QR-Codes direkt an die Haustür. Diese neue Form des "Quishing" umgeht herkömmliche Sicherheitsfilter und hat bereits Millionenschäden verursacht.

Was einst als praktische Lösung für kontaktlose Zahlungen und digitale Speisekarten galt, wird zunehmend zur Waffe von Cyberkriminellen. Die schwarz-weißen Quadrate, deren Inhalt für das menschliche Auge unlesbar ist, ermöglichen Datendiebstahl, Malware-Infektionen und erhebliche Finanzschäden.

Sicherheitsexperten warnen vor einer neuen Generation von Social Engineering-Attacken, die traditionelle E-Mail-Sicherheitsfilter umgehen. Besonders perfide: Die Angriffe verlagern sich aus der digitalen in die physische Welt.

Gefährliche Post: Pakete ohne Absender

In einer aktuellen Warnung beschreibt das FBI eine raffinierte Variante des sogenannten "Brushing-Betrugs". Kriminelle versenden unaufgefordert Pakete an zufällige Adressen - oft ohne erkennbare Absenderangaben. Statt unbestellter Ware finden Empfänger jedoch QR-Codes.

Das Scannen führt zu zwei möglichen Szenarien: Entweder werden Nutzer auf betrügerische Websites geleitet, die Bankdaten und Kreditkarteninformationen abfangen. Oder das Smartphone wird unbemerkt mit Malware infiziert, die persönliche Daten ausspioniert.

Die Behörde rät dringend zur Vorsicht bei unbekannten Paketen und warnt davor, QR-Codes aus dubiosen Quellen zu scannen.

Anzeige: Übrigens: QR-Codes sind oft Einfallstore auf dem Smartphone. Viele Android-Nutzer übersehen 5 einfache Schutzmaßnahmen – ganz ohne teure Zusatz-Apps. Der kostenlose Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Online-Banking und PayPal sicher nutzen und typische Fallen wie Quishing vermeiden. Jetzt kostenloses Android‑Sicherheitspaket sichern

Millionenschwere Schäden in Europa

Die Dimension des Problems wird durch aktuelle Zahlen aus Großbritannien deutlich: Zwischen April 2024 und 2025 entstanden dort Schäden von umgerechnet vier Millionen Euro durch QR-Code-Betrug. Das entspricht täglich über 11.000 Euro - und die Dunkelziffer dürfte erheblich höher liegen.

Besonders häufig manipulieren Betrüger QR-Codes an Parkscheinautomaten. Autofahrer scannen vermeintlich den offiziellen Code für die Parkgebühr, landen jedoch auf Phishing-Seiten, die ihre Zahlungsdaten abgreifen. Dutzende britische Gemeinden meldeten solche Attacken auf ihre Parkplätze.

Warum QR-Codes so gefährlich sind

Quishing - eine Wortschöpfung aus QR-Code und Phishing - stellt eine Evolution der Cyberkriminalität dar. Während herkömmliche Sicherheitssysteme E-Mail-Texte und URLs auf Schadsoftware prüfen, behandeln sie QR-Codes als harmlose Bilder.

Künstliche Intelligenz verstärkt die Bedrohung zusätzlich. KI-Tools können in Sekundenschnelle täuschend echte Phishing-Seiten erstellen und individuelle QR-Codes für verschiedene Zielgruppen generieren. Die Angriffe verlagern sich dabei von kontrollierten Unternehmensumgebungen auf private Smartphones - ein kritischer Sicherheits-Blindfleck.

Anzeige: Passend zum Thema Smartphone-Sicherheit: Diese 5 Maßnahmen machen Ihr Android spürbar sicherer – inklusive Checklisten für geprüfte Apps, automatische Prüfungen und wichtige Updates. Ideal für alle, die QR-Scam, Malware und Datenklau vorbeugen wollen. Kostenlosen Ratgeber anfordern

Schutz vor der unsichtbaren Falle

Cybersecurity-Experte John Shier von Sophos beobachtet, wie QR-Codes verdächtige E-Mail-Links ersetzen: "Sie sind visuell einheitlich und für Menschen unlesbar - das macht es schwer, ihre Legitimität vor dem Scannen zu beurteilen."

Für 2025 prognostizieren Sicherheitsexperten einen drastischen Anstieg von Quishing-Attacken. Kriminelle entwickeln bereits ausgefeiltere Methoden: QR-Codes in passwortgeschützten Anhängen oder mit farbigen Hintergründen, die Erkennungssoftware täuschen.

Empfehlungen für Verbraucher:
- Herkunft jedes QR-Codes vor dem Scannen hinterfragen
- Misstrauen bei aufgeklebten oder verändert wirkenden Codes
- Smartphone-Kamera statt Drittanbieter-Apps nutzen
- URL-Vorschau aktivieren, wo verfügbar

Die Botschaft ist eindeutig: Was praktisch erscheint, kann zur kostspieligen Falle werden. Nur erhöhte Aufmerksamkeit und robuste Sicherheitsprotokolle können diese allgegenwärtige Bedrohung eindämmen.