Der Betrug vor deiner Haustür

Brushing, Quishing und andere betrügerische Machenschaften, die mit der Lieferung eines Produkts, das du nie bestellt hast, per Kurier beginnen.

Ich habe das nie bestellt: Betrug mit gelieferten Paketen und Briefen – Brushing und Quishing

Du erhältst eine Zustellbenachrichtigung – oder findest einfach ein Paket, das vor deiner Haustür liegt. Aber du hast nichts bestellt! Natürlich freut sich jeder über ein kostenloses Geschenk, aber in diesem Fall solltest du vorsichtig sein. Es gibt verschiedene Betrügereien, die mit der Lieferung eines Pakets zu dir nach Hause beginnen.

Du fragst natürlich zuerst bei Freunden und Familie nach – vielleicht hat dir jemand etwas geschickt, ohne es zu erwähnen. Wenn jedoch niemand etwas davon weiß, besteht eine gute Chance, dass du mit einem der unten beschriebenen Pläne konfrontiert wirst.

Spoiler-Alarm: Scanne unter keinen Umständen QR-Codes und ruf niemals Telefonnummern an, die auf der Verpackung aufgedruckt sind.

Bestellungen aufpolieren

Der Begriff Brushing-Betrug kommt aus dem chinesischen E-Commerce-Slang. 刷单 bedeutet wörtlich „Bestellungen aufpolieren“ – was sich im Endeffekt auf eine Art des Betrugs durch Aufblasen von Bestellungen bezieht. Ursprünglich war dieses „Brushing“ relativ harmlos: Du hast ein Produkt erhalten, das du nicht bestellt hast, und der Verkäufer hat in deinem Namen eine begeisterte Bewertung veröffentlicht, um sein Verkaufsranking zu verbessern. Um dies zu erreichen, kaufen skrupellose Verkäufer gehackte Datenbanken mit persönlichen Daten und registrieren dann neue Marketplace-Benutzerkonten unter Verwendung der Namen und Postanschriften der Opfer – aber ihrer eigenen E-Mail-Adresse und Zahlungsmethode (der Verkäufer). An sich erleiden die Opfer dadurch keinen direkten finanziellen Verlust.

Glück gehabt; aber zuerst – deine Bewertung

Im Laufe der Zeit hat sich dieses relativ sanfte „Brushing“ zu einem viel gröberen Abräumen entwickelt. Heutzutage versuchen Betrüger, die Empfänger von Paketen abzuzocken, indem sie sie auf eine schädliche Website locken. Dazu legen sie der Lieferung eine Karte oder einen Aufkleber mit einem QR-Code bei. Die Geschichte, die den Code begleitet, ist unterschiedlich, mit gebräuchlichen Beispielen wie den folgenden:

  • „Sie haben ein Geschenk erhalten! Scannen Sie den Code, um herauszufinden, von wem es stammt.“
  • „Hinterlassen Sie eine Bewertung zu unserem Produkt und Sie erhalten einen Geschenkgutschein im Wert von 100 €!“
  • „Bestätigen Sie den Erhalt deines kostenlos gelieferten Artikels!“

Scannt das Opfer den QR-Code, um herauszufinden, wer der Absender ist, oder fordert es ein weiteres Geschenk an, so erfolgt der Rest nach dem klassischen Muster des Quishing (QR-Phishing): Entweder wird das Opfer dazu gebracht, seine Zahlungsdaten (z. B. Geschenkkarte) oder Codes aus Banken- oder Behörden-Apps einzugeben oder zur Installation einer App zur „Bestätigung“ oder „Aktivierung“ aufgefordert – was natürlich Malware ist.

Was ist, wenn es überhaupt kein Produkt gibt?

Die oben genannten Schemata funktionieren nur, wenn es sich ein Online-Shop leisten kann, Produkte zu Werbezwecken zu „verschenken“. Können Betrüger dennoch an deine Daten gelangen, ohne Waren zu versenden? Sie können – und tun es.

Anstelle eines Pakets findet das Opfer eine professionell bedruckte Postkarte vor der Tür: „Unser Kurierdienst konnte Ihr Paket leider nicht zustellen, da Sie nicht zu Hause waren. Ein Geschenk im Wert von 200 € kann nur persönlich übergeben werden – bitte kontaktieren Sie uns, um eine erneute Zustellung zu vereinbaren.“ Die Postkarte enthält einen QR-Code, eine Website-Adresse und manchmal sogar eine Telefonnummer, um die Zustellung „umzuplanen“.

Beispiel für eine Phishing-Postkarte mit einer Website-Adresse und einem QR-Code

Eine angeblich von der Royal Mail stammende Phishing-Postkarte mit Website-Adresse und QR-Code sieht sehr überzeugend aus – die Betrüger haben viel Wert auf Details gelegt. Quelle

Wenn du die Nummer anrufst oder die bösartige Website besuchst, die im QR-Code verlinkt ist, wirst du durch eines der gängigen Szenarien für betrügerische Lieferungen zur Preisgabe von Zahlungsdaten, Passwörtern oder Einmalcodes verleitet:

  • „Wählen Sie gleich eine Lieferzeit, damit der Artikel nicht an den Absender zurückgeschickt wird“
  • Zahlen Sie eine Gebühr von 2 € für die erneute Zustellung.“ Das Ziel ist, deine Zahlungsdaten zu erhalten und dann viel größere Beträge abzubuchen.
  • „Bezahlen Sie die Zollgebühren.“ Dir wurde mitgeteilt, dass du ein wertvolles Paket erhalten hast, aber die Zollgebühren selbst bezahlen musst. Und diese Beträge können sehr hoch sein (abhängig vom vermeintlichen Wert des Gegenstands). In einigen Ländern kann ein „Kurier“ sogar persönlich kommen, um die Gebühr in bar abzuholen.

All diese Machenschaften können zum Verlust persönlicher und finanzieller Informationen führen – aber manchmal eskalieren sie zu Telefonbetrug mit noch viel größeren Verlusten. Nachdem du beispielsweise eine Gebühr für eine gefälschte Zustellung bezahlt hast, können dich Betrüger anrufen und behaupten, das Paket könne nicht zugestellt werden, da es Drogen enthalte. Es folgt der psychologische Druck durch Anrufe eines „Polizisten“ und Versuche, eine große Geldsumme zu erpressen, um dich vor Strafanzeigen zu „schützen“.

Nachnahme

Ein weiterer beliebter Betrug betrifft Produkte, bei denen die Zahlung per Nachnahme erfolgt. Manchmal bewerben Betrüger ein Produkt im Voraus und senden es dem Opfer mit dessen Zustimmung zu – es gibt aber auch eine Variante, bei der ein Paket aus heiterem Himmel ankommt. Eines Tages steht ein Kurier mit einem Paket auf deinen Namen vor deiner Tür. Normalerweise wird auf der Verpackung ein attraktiver Produktname gut sichtbar angezeigt – beispielsweise ein High-End-Smartphone. Aber… du musst dafür bezahlen. Der Preis ist 2–3 Mal niedriger als der Marktpreis. Die Betrüger verlassen sich auf Gier und Dringlichkeit („der Kurier hat es eilig, erledigen wir das schnell!“), um das Opfer bezahlen zu lassen, ohne den Artikel ordnungsgemäß zu überprüfen. Der Kurier eilt davon, und das Opfer öffnet die Schachtel und findet entweder eine billige Kopie des behaupteten Produkts – oder einfach nur Müll.

Weigert sich das Opfer, für den mysteriösen Artikel zu bezahlen, haben die Betrüger möglicherweise einen „Plan B“ parat, mit dem sie unter dem Vorwand, die „Stornierung der Bestellung zu bestätigen“, einen einmaligen Bestätigungscode für einen Marketplace oder eine Bank angeben.

Zielgerichtete Angriffe

Manchmal zielen Betrügereien mit physischen Lieferungen auf bestimmte Opfer ab. Beispielsweise haben Kriminelle versucht, Kryptowährungen zu stehlen, indem sie den Besitzern von Hardware-Wallets Pakete zusenden, die angeblich einen kostenlosen Garantieersatz für defekte Geräte enthalten. In der Verpackung befand sich ein „neues“ Krypto-Wallet – eigentlich ein USB-Stick, der mit Malware beladen ist, das die Seed-Phrase des Wallets stehlen soll. Der Versand von USB-Sticks wurde auch von der Ransomware-Bande FIN7 im Rahmen gezielter Ransomware-Angriffe auf ausgewählte Unternehmen verwendet.

Die versteckte Bedrohung

Brushing- und Quishing-Betrug hat eine unangenehme Ursache. Wenn du diese Pakete erhältst, bedeutet dies, dass deine Adresse und andere Kontaktinformationen in Datenbanken gehackt wurden und in Untergrundforen zirkulieren. Diese Datensätze werden wiederholt verkauft, sodass du möglicherweise auch Ziel anderer Arten von Betrug wirst. Sei vorbereitet: Aktiviere überall die Zwei-Faktor-Authentifizierung, rechne mit betrügerischen Anrufen, überprüfe häufig deine Kontoauszüge und installiere auf all deinen Geräten zuverlässigen Schutz.

Was tun, wenn du ein unerwartetes Paket erhältst?

  • Überprüfe sorgfältig die Verpackung, die Aufkleber und alle Begleitdokumente.
  • Mach für alle Fälle ein Foto des Pakets, aber folge niemals Links von QR-Codes oder gedrucktem Text. Bewahre die Verpackung für den Fall auf, dass später Nachforschungen angestellt werden.
  • Ruf niemals die Telefonnummern an und besuche auf keinen Fall die auf dem Paket aufgedruckten Links.
  • Zahle niemals „Liefergebühren“ oder „Zölle“ und gib niemals deine Zahlungsdaten preis.
  • Schließe unerwartet empfangene digitale Speichergeräte niemals an deinen Computer oder dein Smartphone an.
  • Wenn das Paket von einem großen und bekannten Kurierdienst (Amazon, eBay, DHL Express, UPS, FedEx, AliExpress, nationale Postdienste usw.) stammt, verwende den Service oder Live-Chat und überprüfe den Tracking-Status und die Absenderinformationen. Wenn das Paket eine Sendungsverfolgungsnummer hat, gib diese manuell ein – scanne keine QR-Codes auf dem Aufkleber.
  • Melde das verdächtige Paket dem Kurierdienst und der Polizei – auch dann, wenn dir kein Geld gestohlen wurde.

Lies mehr über Betrug mit QR-Codes, Marketplaces und Lieferdiensten:

Tipps

Privatsphäre in sozialen Medien – Stand 2025

In welchen sozialen Netzwerken bleiben deine Beiträge vorwiegend deinen Freunden vorbehalten? Welche Netzwerke verwenden deine Postings für KI-Training und gezielte Werbung? Wir untersuchen das aktuelle Privatsphäre-Ranking für populäre Social-Media-Plattformen.

  • Für alle anderen Länder