Transparenzhinweis – Beitrag mit Unterstützung von KI erstellt
Gefälschte Paket-Abholzettel im Briefkasten wirken auf den ersten Blick wie ein alltägliches Ärgernis: Ein Zustellversuch sei gescheitert, die Sendung könne nun per QR-Code neu terminiert oder „freigeschaltet“ werden. Doch genau dieser scheinbar bequeme Weg ist derzeit Teil einer Betrugswelle, vor der Polizeibehörden und Medien am 28. und 29. Januar 2026 warnen. Die Masche trägt einen Namen, der zunehmend in Warnmeldungen auftaucht: Quishing. Gemeint ist Phishing über QR-Codes – und der Trick funktioniert, weil der QR-Code die eigentliche Zieladresse verborgen hält und damit die übliche Skepsis gegenüber dubiosen Links umgeht.
Was hinter „Quishing“ steckt
Quishing setzt auf eine einfache Kombination: ein physischer Köder und eine digitale Falle. Die Betrüger verteilen Zettel oder kartenähnliche Flyer, die optisch an Benachrichtigungen bekannter Logistikunternehmen erinnern. Statt einer nachvollziehbaren Sendungsnummer oder konkreter Abholinformationen findet sich häufig ein QR-Code, der angeblich zur Sendungsverfolgung, zur Terminvereinbarung oder zur „Bestätigung“ einer Zustellung führt. Nach dem Scan öffnet sich eine Webseite, die dem Design echter Serviceportale nachempfunden sein kann. Dort werden anschließend Daten abgefragt – von Adresse und Kontaktdaten bis hin zu Login- oder Zahlungsinformationen. In manchen Fällen steht auch die Installation von Schadsoftware im Raum, wenn der Scan zu Downloads oder App-Installationen verleitet.
Aktuelle Warnungen: Zettel im Briefkasten statt SMS
Die jüngsten Meldungen betonen, dass die Täter bewusst auf den analogen Weg setzen. In Thüringen wurden laut einer Polizeiwarnung vom 28. Januar 2026 Flyer verteilt, die wie Einwurfbenachrichtigungen über verpasste Paketsendungen aussehen und mit einem QR-Code sowie einer knappen Botschaft („Sendung verpasst – kein Problem“) arbeiten. Am 29. Januar 2026 warnte zudem die Polizei in Magdeburg vor gefälschten Paketbenachrichtigungen, die täuschend echt wirken und ebenfalls zum Scannen eines QR-Codes drängen. Auffällig sei dabei, dass die Karten oft in mehreren Briefkästen gleichzeitig auftauchten, die Texte sehr allgemein gehalten seien und konkrete, überprüfbare Sendungsdaten fehlten.
Warum die Masche gerade so gut funktioniert
QR-Codes gelten im Alltag als praktischer Standard: Speisekarten, Tickets, Zwei-Faktor-Logins, Paketstationen. Diese Normalität senkt die Hemmschwelle. Während ein Link in einer E-Mail oft misstrauisch macht, wirkt ein QR-Code auf Papier wie ein „offizieller“ Prozessschritt. Hinzu kommt ein psychologischer Verstärker: Viele Haushalte erwarten regelmäßig Lieferungen. Eine Benachrichtigung über eine angeblich verpasste Zustellung klingt plausibel, erzeugt leichten Zeitdruck und aktiviert den Reflex, das Problem schnell zu lösen. Genau dieses Zeitfenster nutzen Täter aus, um Daten abzugreifen oder Zahlungen anzustoßen.
Woran sich Fake-Abholzettel häufig erkennen lassen
Allgemeine Formulierungen und fehlende Personalisierung
Aktuelle Polizeihinweise nennen auffällig generische Texte, fehlende Namen und unkonkrete Angaben als Warnsignal. Wenn weder Empfängername noch eine nachvollziehbare Sendungsnummer vorhanden sind, passt das nicht zu üblichen Zustellprozessen.
QR-Code als einziger „Lösungsweg“
Ein wiederkehrendes Muster ist die Darstellung des QR-Codes als zwingender nächster Schritt. Seriöse Zusteller bieten in der Regel mehrere Wege an, etwa über die offizielle App, das Kundenkonto oder die reguläre Sendungsverfolgung.
Gleichzeitiges Auftauchen in vielen Briefkästen
Wenn mehrere Parteien im Haus nahezu identische „Benachrichtigungen“ erhalten, obwohl nicht alle eine Lieferung erwarten, spricht das eher für massenhaft verteilte Betrugszettel als für reale Zustellversuche.
Was nach einem Scan riskant wird
Der kritische Moment beginnt nicht erst bei einer Zahlung, sondern bereits beim Öffnen der Zielseite. Dort können Eingabemasken für persönliche Daten, Login-Informationen oder Zahlungsdaten warten. Ebenso können Seiten versuchen, Nutzer in App-Installationen oder angebliche „Sicherheitsupdates“ zu lenken. Die aktuellen Warnmeldungen raten deshalb ausdrücklich davon ab, QR-Codes von verdächtigen Zustellhinweisen zu scannen und darüber Daten einzugeben. Stattdessen sollte eine mögliche Sendung ausschließlich über offizielle Apps oder Webseiten der jeweiligen Dienstleister geprüft werden. Auch Telefonnummern auf solchen Zetteln können problematisch sein, wenn sie zu teuren Rufnummern führen.
Fazit
Quishing über gefälschte Paket-Abholzettel ist kein abstraktes Online-Problem, sondern eine Betrugsform, die gezielt den Briefkasten als Vertrauensanker nutzt. Die aktuellen Warnungen vom 28. und 29. Januar 2026 zeigen, wie systematisch die Täter vorgehen: allgemein gehaltene Texte, fehlende Sendungsdetails und ein QR-Code als vermeintlich schnellster Weg zur Lösung. Entscheidend ist, dass der QR-Code nicht als „neutraler Komfort“ betrachtet wird, sondern als potenziell verschleierter Link. Wer Sendungen nur über offizielle Kanäle prüft und verdächtige Zettel als das behandelt, was sie oft sind – Massenköder –, reduziert das Risiko erheblich.
Quellen
https://www.welt.de/regionales/sachsen-anhalt/article697b8862393ebaf886c7833b/polizei-warnt-vor-gefaelschten-paketbenachrichtigungen.html
https://aktuell.meinestadt.de/thueringen/polizeimeldungen/6595428
https://www.moz.de/nachrichten/panorama/betrug-mit-dhl-qr-code-was-ist-dran-an-der-betrugsmasche-mit-den-falschen-zustellkarten-78610032.html
https://www.dieharke.de/lokales/nienburg-lk/nienburg/betrug-polizei-warnt-vor-gefaelschten-benachrichtigungskarten-der-deutschen-post-SHF3AJ47WNHD3BFALWQMCFZV3I.html
