Fake-Paketkarten: Vorsicht vor der QR-Code-Falle

Es ist ein Szenario, das Vertrauen erweckt: Sie kommen nach Hause, öffnen Ihren Briefkasten und finden eine Benachrichtigungskarte. Sie ist gelb, orange oder blau – die Farben der bekannten Paketdienste. „Wir konnten Ihr Paket nicht zustellen“, heißt es darauf. Doch statt einer konkreten Filiale oder einem Nachbarn, bei dem das Paket liegt, findet sich dort oft nur ein prominenter QR-Code.

Genau hier beginnt Quishing (QR-Code-Phishing) – eine Betrugsmasche, die den digitalen Datenklau in die analoge Welt Ihres Hausflurs bringt.

Experten warnen: Die Angriffe werden raffinierter und betreffen längst nicht mehr nur Kunden der Deutschen Post – DHL!

Was steckt genau hinter der Masche?

Kriminelle nutzen für diesen Betrug den sogenannten „Medienbruch“. Wir sind mittlerweile trainiert, bei E-Mails skeptisch zu sein (Rechtschreibfehler, seltsame Absender). Doch ein gedrucktes Stück Papier im eigenen Briefkasten umgeht diesen mentalen Schutzfilter. Es wirkt amtlich, physisch und damit „echt“.

Der technische Ablauf des Betrugs

Die Streuung: Betrügerbanden werfen massenhaft gefälschte Karten in Wohngebieten ein. Dies geschieht oft nachts oder durch unauffällige Austräger, die nichts von dem Betrug wissen (manchmal über Jobbörsen als „Flyer-Verteiler“ angeheuert).

Der Köder: Der Text auf der Karte erzeugt künstlichen Druck. Phrasen wie „Letzte Chance zur Abholung“ oder „Rücksendung erfolgt in 24 Stunden“ sollen das rationale Denken ausschalten und zum schnellen Handeln zwingen.

Die Weiterleitung: Wer den QR-Code scannt, landet nicht direkt bei der Post, sondern oft zunächst auf einer unverdächtigen Zwischenseite, die Sicherheitsfilter des Smartphones austrickst. Von dort erfolgt die Weiterleitung auf die eigentliche Phishing-Seite.

Der Diebstahl: Auf der gefälschten Webseite, die dem Original zum Verwechseln ähnlich sieht, werden Sie aufgefordert, Ihre Anschrift, E-Mail und schließlich Kreditkartendaten einzugeben – angeblich für eine geringe „Neu-Zustellungsgebühr“ oder Zollgebühren. Alternativ wird versucht, Schadsoftware auf dem Android-Smartphone zu installieren oder ein teures Abo über die Handyrechnung abzuschließen.

Betrifft es nur DHL? Eine klare Warnung

Lange Zeit war fast ausschließlich das gelbe Design der Deutschen Post / DHL betroffen, da diese den größten Marktanteil in Deutschland haben und somit die Trefferquote für die Betrüger am höchsten ist. Das hat sich jedoch geändert. Die Täter diversifizieren ihre Angriffe, um glaubwürdiger zu wirken.

Nach aktuellem Kenntnisstand der Verbraucherzentralen und des Landeskriminalamts (LKA) sind Fälschungen im Umlauf, die die Corporate Identity fast aller großen Logistiker imitieren:

Hermes: Hier nutzen die Täter das typische Blau und imitieren oft die Zettel, die normalerweise an der Haustür kleben.
DPD & UPS: Auch deren Designs (Rot/Weiß bzw. Braun/Gold) werden kopiert.
Amazon Logistics: Da Amazon oft eigene Zusteller einsetzt, tauchen vereinzelt auch Fälschungen in deren Design auf.

Das gefährliche daran: Die Betrüger passen sich teilweise den lokalen Gegebenheiten an. In Regionen, wo beispielsweise Hermes sehr stark vertreten ist, tauchen vermehrt blaue Fake-Karten auf. Lassen Sie sich also nicht in Sicherheit wiegen, nur weil die Karte nicht von der DHL zu sein scheint.

Woran Sie die Fälschungen erkennen

Die Fälschungen sind optisch oft hochwertig, doch im Detail scheitern sie fast immer an der Logistik-Realität. Achten Sie auf diese Merkmale:

1. Die fehlende Individualisierung (Das wichtigste Merkmal)

Eine echte Karte wird vom Zusteller in der Eile ausgefüllt oder gedruckt. Sie enthält immer:

Ihren Namen oder den des Nachbarn.
Das Datum und die Uhrzeit.
Oft eine krakelige Handschrift oder einen Aufkleber mit einer Sendungsnummer.
Eine konkrete Handlungsanweisung (z.B. „Komme morgen wieder“ oder „Bei Nachbar Müller abgegeben“).

Die Fälschung hingegen ist generische Massenware. Sie muss für jeden Briefkasten passen. Deshalb fehlen Namen, konkrete Sendungsnummern und individuelle Ankreuzfelder. Eine Karte, die keinen Empfängernamen trägt, ist fast garantiert Betrug.

2. Der QR-Code als einzige Option

Seriöse Dienstleister bieten immer Alternativen. Auf echten Karten steht meist eine Webadresse (URL) im Klartext oder eine Service-Telefonnummer. Wenn die Karte Sie zwingt, den QR-Code zu scannen, um überhaupt zu erfahren, worum es geht, sollten alle Alarmglocken schrillen. Logistiker verstecken Informationen nicht hinter Codes.

3. Papier und Druckqualität

Fühlen Sie das Papier. Echte Benachrichtigungskarten sind oft aus festerem Karton oder speziellem Thermodruck-Papier (wie Kassenbons). Die Fälschungen sind häufig auf billigem Standard-Druckerpapier gedruckt und dann ausgeschnitten, oft mit unsauberen Rändern oder leicht verwaschenen Farben.

4. Der URL-Check

Wenn Sie den Code scannen (tun Sie dies nur mit Vorsicht!), zeigt Ihr Smartphone meist eine Vorschau der Adresse an.

Echt: dhl.de, hermes.com, dpd.com.
Fake: dhl-service-zustellung.com, paket-gebuehr-bezahlen.de, bit.ly/xyz.

Achten Sie hier besonders auf Endungen. Eine Adresse wie dhl.de.com ist nicht von DHL, sondern eine Fälschung.

Seit wann gibt es das Phänomen „Paketkarten-Quishing“?

Die spezifische Masche mit gefälschten Paketbenachrichtigungen im Briefkasten ist eine der neuesten Eskalationsstufen im Bereich Cybercrime. Während digitale Angriffe (per SMS oder E-Mail) schon lange existieren, lässt sich der Trend zur physischen Postkarte wie folgt zeitlich einordnen:

1. Die Vorläufer (2023): Parkscheinautomaten und Ladesäulen

Bevor die Betrüger in Ihren Briefkasten kamen, übten sie im öffentlichen Raum.
Ab 2023 häuften sich Berichte über überklebte QR-Codes an Parkscheinautomaten (z. B. in Berlin und München) und an E-Ladesäulen.
Autofahrer wollten per App zahlen, scannten den aufgeklebten Code und landeten auf gefälschten Zahlungsseiten. Dies war der erste große „Testlauf“ für physisches Quishing (QR-Code-Phishing) in Deutschland.

2. Der Sprung in den Briefkasten: Die Bankbriefe (Herbst 2023 / Anfang 2024)

Der nächste Schritt war der direkte Einwurf von Post.
Ende 2023 und verstärkt im Jahr 2024 tauchten plötzlich sehr professionell gefälschte Briefe von Banken (u. a. Commerzbank, Deutsche Bank, Sparkassen) in deutschen Briefkästen auf.
Inhalt: Man solle sein PhotoTAN-Verfahren aktualisieren, indem man einen QR-Code scannt. Diese Welle bereitete den Boden für die Paket-Masche, da die Täter hier die Logistik für den massenhaften Briefeinwurf perfektionierten.

3. Die Paketkarten-Welle (Start: Frühjahr 2024 in Österreich)

Die spezifische Variante mit den Paketkarten hat ihren Ursprung im deutschsprachigen Raum interessanterweise in Österreich.
Im April/Mai 2024 warnten die österreichische Polizei und „Post.at“ massiv vor gelben Zetteln („Hinterlegungsanzeigen“), die fast identisch aussahen wie die echten, aber einen Phishing-QR-Code enthielten.

4. Der Flächenbrand in Deutschland (Seit Ende 2024 / 2025)

Ab der zweiten Jahreshälfte 2024 schwappte die Welle spürbar nach Deutschland über.

Aktueller Stand (2025): Die Methode ist nun im großen Stil in Deutschland angekommen. Verbraucherzentralen und Landeskriminalämter (z. B. Niedersachsen, NRW) geben seitdem laufend Warnmeldungen heraus. Die Täter haben bemerkt, dass E-Mail-Filter (Spam-Ordner) zu gut geworden sind und weichen deshalb auf den analogen Briefkasten aus („Analog-Spam“).

Warum gerade jetzt?

Dass dieses Phänomen erst in den Jahren nach 2023 so groß wurde, hat zwei Hauptgründe:

Der „Pandemie-Effekt“: Vor 2020 nutzten im Westen nur wenige Menschen QR-Codes. Durch die Corona-Pandemie (Check-in-Apps, digitale Speisekarten, Impfzertifikate) haben wir uns alle daran gewöhnt, überall Codes zu scannen, ohne groß nachzudenken.
KI und Drucktechnik: Dank künstlicher Intelligenz können Betrüger heute in Sekunden fehlerfreie Texte verfassen und Logos perfekt kopieren. Hochwertige Farbdrucker sind zudem so günstig, dass eine professionell wirkende Fälschung kaum noch Geld kostet.

Während der digitale Betrug (Smishing) schon seit über einem Jahrzehnt existiert, ist die physische Paketkarte mit QR-Code ein Phänomen, das im DACH-Raum erst seit Mitte 2024 massiv an Bedeutung gewonnen hat.

So schützen Sie sich effektiv

Machen Sie es sich zur Gewohnheit, dem Papier nicht blind zu vertrauen:

Gegenprüfung in der App: Erwarten Sie ein Paket? Schauen Sie in die offizielle App des Anbieters. Wenn dort steht „In Zustellung“ oder „Liegt in Filiale“, stimmt das. Steht dort nichts von einem Problem, lügt die Karte.
Keine Daten ohne Sendungsnummer: Geben Sie niemals Daten auf einer Webseite ein, wenn Sie nicht vorher eine valide Sendungsnummer eingegeben haben. Die Betrüger-Seiten fragen oft direkt nach Adresse und Kreditkarte, ohne vorher nach der Paketnummer zu fragen – das würde kein echter Dienstleister tun.
Wegwerfen: Wenn Sie nichts bestellt haben und die Karte unpersönlich wirkt: Ab damit ins Altpapier!

Was tun im Ernstfall?

Sollten Sie in die Falle getappt sein, zählt jede Minute:

Zahlungsdaten eingegeben? ⇒ Sperren Sie Kreditkarten und Konten sofort über den Sperr-Notruf 116 116.
Passwörter eingegeben? ⇒ Ändern Sie sofort den Zugang zu Ihrem Paketdienst-Konto und allen anderen Diensten, bei denen Sie das gleiche Passwort nutzen.
App installiert? ⇒ Wenn Sie aufgefordert wurden, eine App herunterzuladen (oft eine .apk-Datei bei Android), schalten Sie das Gerät in den Flugmodus. Deinstallieren Sie die App und setzen Sie das Gerät im Zweifel auf Werkseinstellungen zurück.

Anzeige erstatten: Bringen Sie die gefälschte Karte als Beweismittel zur Polizei.

Quellenangaben

Verbraucherzentrale Bundesverband: Phishing per Briefpost: Warnung vor gefälschten Paket-Benachrichtigungen. Detaillierte Analyse der „Quishing“-Methode (Stand: 2025).
Polizei-Beratung.de: Betrug an der Haustür und im Briefkasten. Warnhinweise der Polizeilichen Kriminalprävention der Länder und des Bundes.
Landeskriminalamt (LKA) Niedersachsen & NRW: Aktuelle Meldungen zu Phishing-Wellen im Namen von DHL, Hermes und anderen Dienstleistern.
Watchlist Internet: Laufend aktualisierte Liste betrügerischer Webseiten und neuer Betrugsmaschen im Logistikbereich.

Beliebte Beiträge

1505, 2023

Tausende Chip-Fabriken in China schliessen Ihre Werke
Gallerie
Tausende Chip-Fabriken in China schliessen Ihre Werke

Tausende Chip-Fabriken in China schliessen Ihre Werke

Michael2023-07-08T10:50:45+02:0015th, Mai, 2023|Kategorien: Shorts & Tutorials, Datenschutz, E-Commerce / Finanzen, Künstliche Intelligenz|Schlagwörter: Hardware, KI-Systeme, Smart Home|

10.000 chinesische Unternehmen, in der Chipentwicklung, haben ihre Werke wieder schliessen müssen. "Made in China" Strategie scheint gescheitert. Die Gründe sind meist hausgemacht, und somit bleibt ein Konzern in Südkorea weiter an der Spitze der Chip-Produzenten weltweit.

1305, 2023

Amazon verschenkt unfreiwillig Waren – Aber Vorsicht!
Gallerie
Amazon verschenkt unfreiwillig Waren – Aber Vorsicht!

Amazon verschenkt unfreiwillig Waren – Aber Vorsicht!

Michael2023-07-08T10:51:52+02:0013th, Mai, 2023|Kategorien: Amazon, Allgemein, E-Commerce / Finanzen, Shorts & Tutorials|Schlagwörter: Amazon, Finanzen|

Bei Amazon können Sie Waren unter bestimmten Bedingungen zum Teil kostenlos behalten ohne sie zurücksenden zu müssen. Bei Missbrauch droht allerdings die Sperrung des Kundenkontos.

1105, 2023

PayPal Passkey einrichten – So funktioniert es
Gallerie
PayPal Passkey einrichten – So funktioniert es

PayPal Passkey einrichten – So funktioniert es

Michael2023-07-08T10:52:36+02:0011th, Mai, 2023|Kategorien: Datenschutz, E-Commerce / Finanzen, Shorts & Tutorials|Schlagwörter: Datenschutz, Finanzen|

Mit dem PayPal Passkey werden PayPal-Zahlungen noch sicherer. Seit Oktober 2022 vorerst nur in USA verfügbar. Im Verlauf 2023 auch in weiteren Ländern.

905, 2023

Weltweit größter Online-Händler Alibaba mit eigenem Chatbot
Gallerie
Weltweit größter Online-Händler Alibaba mit eigenem Chatbot

Weltweit größter Online-Händler Alibaba mit eigenem Chatbot

Michael2023-07-08T10:55:08+02:009th, Mai, 2023|Kategorien: Shorts & Tutorials, E-Commerce / Finanzen, Künstliche Intelligenz|Schlagwörter: Finanzen, KI-Systeme|

Die weltweite Nr. 1 der Online-Händler Alibaba will mit der Sprachsoftware: "Tongyi Qianwen" eigenen Chatbot auf den Markt bringen. Wir versuchen zu beleuchten was dahinter steckt.

705, 2023

Soviel Förderung gibt es für Balkonkraftwerke je Bundesland
Gallerie
Soviel Förderung gibt es für Balkonkraftwerke je Bundesland

Soviel Förderung gibt es für Balkonkraftwerke je Bundesland

Michael2023-07-08T10:57:06+02:007th, Mai, 2023|Kategorien: Shorts & Tutorials, E-Commerce / Finanzen|Schlagwörter: Finanzen, Short News, Smart Home|

Seit dem 1. Januar 2023 entfällt in Deutschland die MwSt. 19% für den Kauf von Balkon-Solaranlagen. Zusätzlich gibt es Förderung vom Bund. Wir haben je Bundesland aufgelistet wieviel Förderung Sie erhalten können.

205, 2023

Aus NetzDG wird das Digitale Dienste Gesetz
Gallerie
Aus NetzDG wird das Digitale Dienste Gesetz

Aus NetzDG wird das Digitale Dienste Gesetz

Michael2023-07-08T11:09:34+02:002nd, Mai, 2023|Kategorien: Shorts & Tutorials, Datenschutz, E-Commerce / Finanzen|Schlagwörter: Datenschutz, Short News|

Das Digitale Dienste Gesetz (DSA) muss bis zum 17. Februar 2024 schrittweise umgesetzt werden und wird das seit 1. Oktober 2017 geltende NetzDG ersetzen.