Phishing im Briefkasten: Gefälschte Post-Abholeinladungen mit QR-Code
Das Wichtigste in Kürze
- Betrüger verteilen gefälschte Post-Abholeinladungen mit QR-Codes direkt in Briefkästen.
- Über den QR-Code gelangen die Opfer auf eine täuschend echte Fake-Website der Post.
- Ziel der Täter ist es, persönliche Daten und Kreditkarteninformationen für weiteren Betrug zu erlangen.
Phishing findet längst nicht mehr nur per E-Mail, SMS oder WhatsApp statt. Aktuell warnen die Behörden vor einer neuen Betrugsmasche, bei der Kriminelle gefälschte Abholeinladungen der Schweizerischen Post direkt in Briefkästen verteilen. Über einen QR-Code werden die Opfer auf eine betrügerische Website gelockt, wo persönliche Daten und Kreditkarteninformationen abgegriffen werden.
So funktioniert die Betrugsmasche
Die Täter werfen gefälschte Abholeinladungen in Briefkästen, die den offiziellen Benachrichtigungen der Schweizerischen Post täuschend ähnlich sehen. Die Dokumente enthalten Angaben zu einer angeblich fehlgeschlagenen Paketzustellung und fordern die Empfänger auf, einen QR-Code zu scannen, um eine neue Zustellung zu vereinbaren.
Wer den QR-Code scannt, gelangt auf eine professionell gestaltete Website im Design der Post. Dort wird zunächst eine Terminwahl für die erneute Zustellung angezeigt. Dieser Schritt dient vor allem dazu, Vertrauen aufzubauen und den Eindruck einer legitimen Dienstleistung zu vermitteln.
Anschliessend werden umfangreiche persönliche Informationen abgefragt, darunter Name, Adresse, Geburtsdatum, Telefonnummer und E-Mail-Adresse. Im nächsten Schritt verlangen die Betrüger eine angebliche Bearbeitungsgebühr für die erneute Zustellung. Obwohl nur ein kleiner Betrag verlangt wird, müssen die Opfer ihre Kreditkartendaten eingeben.
Genau darauf haben es die Täter abgesehen: Nicht die geringe Gebühr steht im Vordergrund, sondern die Kreditkarteninformationen. Diese können anschliessend für betrügerische Transaktionen missbraucht werden. Gleichzeitig sammeln die Kriminellen umfangreiche persönliche Daten, die später für Identitätsdiebstahl oder weitere Betrugsversuche verwendet werden können.
Die Masche ist besonders perfide, weil sie einen physischen Brief mit digitalen Phishing-Techniken kombiniert. Viele Menschen sind bei E-Mails oder SMS inzwischen vorsichtig geworden. Ein Dokument im eigenen Briefkasten wirkt hingegen vertrauenswürdig und löst weniger Misstrauen aus.
«Je vertrauter eine Nachricht oder ein Dokument wirkt, desto geringer ist oft die Aufmerksamkeit. Genau darauf setzen die Täter. Ein QR-Code auf einer scheinbar offiziellen Postsendung kann genauso gefährlich sein wie ein Link in einer Phishing-E-Mail.»
Martin Tschirky, Sicherheitsbeauftragter, Bank BSU
So schützen Sie sich wirksam:
- Scannen Sie QR-Codes auf unerwarteten Dokumenten nur mit besonderer Vorsicht.
- Nutzen Sie für die Sendungsverfolgung oder die Verwaltung von Zustellungen ausschliesslich die offizielle Website oder App der Post.
- Geben Sie persönliche Daten oder Kreditkarteninformationen nur auf vertrauenswürdigen und überprüften Webseiten ein.
- Hinterfragen Sie Gebührenforderungen für angebliche Nach- oder Zweitzustellungen kritisch.
- Kontaktieren Sie bei Unsicherheiten direkt die Schweizerische Post über die offiziellen Kontaktkanäle.
Fazit: Diese Betrugsmasche zeigt, dass Cyberkriminelle ihre Methoden laufend weiterentwickeln. Nicht nur digitale Nachrichten, sondern auch scheinbar offizielle Dokumente im Briefkasten können Teil eines Phishing-Angriffs sein. Wer ungewöhnliche Aufforderungen kritisch hinterfragt und sensible Daten nicht vorschnell preisgibt, kann sich wirksam vor solchen Betrugsversuchen schützen.
Quelle: Hochschule Luzern − Informatik