Betrugsmasche: Gefälschte Bankbriefe mit QR-Codes im Umlauf

Kriminelle versenden massenhaft gefälschte Bankbriefe mit QR-Codes. Die Täter nutzen die kürzlich eingeführten EU-Zahlungsregeln als glaubwürdigen Vorwand für ihre Attacken.

Die Vorweihnachtszeit entwickelt sich zum Hochrisiko-Zeitraum für Bankkunden. Polizei und Verbraucherschützer warnen vor einer neuen Betrugsmasche, die digitale und analoge Methoden kombiniert: “Post-Quishing”. Parallel dazu überfluten klassische Phishing-Mails die Postfächer von Barclays- und Volksbank-Kunden.

Gefälschte Briefe missbrauchen EU-Zahlungsreform

Die gefährlichste Entwicklung spielt sich derzeit in Briefkästen ab. Kriminelle versenden tausendfach professionell gefälschte Schreiben im Namen von Volksbanken Raiffeisenbanken, ING oder ApoBank. Der Trick: Die Täter beziehen sich auf die am 9. Oktober 2025 in Kraft getretenen EU-Änderungen im Zahlungsverkehr – konkret den IBAN-Namensabgleich (“Verification of Payee”).

Passend zum Thema QR‑Code‑ und SMS‑Betrug: Viele Android‑Nutzer übersehen Basis‑Schutzmaßnahmen, die genau vor diesen Attacken schützen. Der kostenlose Ratgeber erklärt die fünf wichtigsten Schritte – von sicheren Store‑Einstellungen über App‑Prüfung bis zur Erkennung gefälschter QR‑Links – mit praktischen Schritt‑für‑Schritt‑Anleitungen, damit Trojaner und TAN‑Diebstahl keine Chance haben. Kurz‑Checklisten und Screenshot‑Beispiele helfen Ihnen, gefälschte Seiten schnell zu erkennen. Gratis-Sicherheitsratgeber für Android herunterladen

Die Briefe wirken täuschend echt. Sie fordern Empfänger auf, ihre Daten wegen der neuen Regelungen zu verifizieren. Ansonsten drohe eine Kontosperrung. Das perfide Detail: Ein aufgedruckter QR-Code soll gescannt werden. Dieser führt jedoch nicht zur Bank, sondern auf gefälschte Webseiten, die Zugangsdaten abfangen.

Warum die Masche funktioniert: Physische Post genießt noch immer hohes Vertrauen. Die regulatorische Unsicherheit nach der tatsächlichen EU-Reform macht Kunden empfänglich für solche Aufforderungen.

Aktuelle Phishing-Welle trifft mehrere Institute

Gleichzeitig registriert die Verbraucherzentrale NRW heute neue E-Mail-Kampagnen:

Barclays (5. Dezember): Mails mit dem Betreff “Dringend: Bestätigung Ihrer Kontaktdaten erforderlich” fordern zur Verifizierung der Telefonnummer auf. Die Nachrichten erzeugen durch Formulierungen wie “zeitnah” und “Sicherheitsprüfung” massiven Handlungsdruck.

Volksbanken (4. Dezember): Die Täter bewerben ein angeblich neues “VR-Dashboard” zur Sicherheitsverbesserung. Erkennungsmerkmal dieser Welle: Die fehlerhafte Anrede “Sehrgeehrter Kunde” ohne Leerzeichen.

Weitere Ziele: Auch Disney+- und Klarna-Kunden erhalten aktuell Fake-Mails zu angeblich fehlenden Zahlungsinformationen.

Smartphone-Nutzer besonders gefährdet

QR-Code-Phishing zielt gezielt auf mobile Nutzer ab. Auf kleinen Smartphone-Displays sind gefälschte URLs wie volksbank-sicherheit-verify.com deutlich schwerer zu erkennen als am Desktop.

Besondere Vorsicht gilt bei angeblichen “Sicherheits-Apps”, die per QR-Code oder SMS angeboten werden. Dahinter verbergen sich oft Trojaner, die TANs abfangen oder Zugriff auf Banking-Apps erlangen. Aktuell werden gezielt Commerzbank-Kunden mit gefälschten Aufforderungen zur Aktualisierung ihrer photoTAN-App attackiert.

Warum die Angriffe jetzt so erfolgreich sind

Die Täter nutzen das perfekte Timing. Die tatsächliche Einführung der EU-Sofortzahlungsregeln im Oktober 2025 schuf echte Verunsicherung bei Bankkunden. Wenn legitime Institute über Neuerungen informieren, schlüpfen Kriminelle in diesem “Grundrauschen” unter.

Die Professionalisierung ist bemerkenswert: Phishing-Seiten passen sich automatisch dem Endgerät an. Der logistische Aufwand für echte Briefsendungen deutet auf gut finanzierte kriminelle Netzwerke hin, die physische Post bewusst einsetzen, um Spam-Filter und Firewalls zu umgehen.

So schützen Sie sich

Sicherheitsexperten erwarten bis Weihnachten eine weitere Intensivierung der Angriffe. Das erhöhte Paketaufkommen im Weihnachtsgeschäft bietet Kriminellen zusätzliche Ansatzpunkte.

Diese Regeln gelten jetzt:

• QR-Codes aus Briefen ignorieren – Kontaktieren Sie Ihre Bank unter der offiziellen Telefonnummer
• Zeitdruck ist immer verdächtig – Seriöse Banken drohen niemals mit sofortiger Sperrung per E-Mail
• Apps nur über offizielle Stores – Niemals Banking-Apps über Links in Nachrichten installieren
• URL genau prüfen – Vor jeder Login-Eingabe die Webadresse in der Browserzeile kontrollieren

Bei Dateneingabe: Sofort die Bank kontaktieren, Zugang sperren lassen und Anzeige bei der Polizei erstatten.

PS: Wenn Sie Banking‑Apps oder photoTAN nutzen, reicht ein falscher QR‑Scan oft schon für großen Schaden. Dieses kostenlose Sicherheitspaket fasst die fünf effektivsten Schutzmaßnahmen für Android zusammen und zeigt, wie Sie Apps prüfen, automatische Updates einrichten und Phishing‑Links erkennen – ohne zusätzliche Software. Ideal vor Weihnachten, wenn Angreifer verstärkt auf Post und Pakete setzen. Jetzt das Android-Schutzpaket kostenlos anfordern