QRTrust Logo
Vertraue nicht jedem QR-Code.
Zurück zum Blog
Sicherheit

Polizei Wuppertal warnt: Neue Quishing-Masche bei Kleinanzeigen-Verkäufen

8 Min. Lesezeit

Drei Fälle im Märkischen Kreis: Betrüger versenden QR-Codes an Verkäufer auf Kleinanzeigen-Plattformen. Wer scannt, landet auf gefälschten Zahlungsseiten und verliert Geld.

Die Polizei Wuppertal warnt vor einer neuen Quishing-Variante, die gezielt Verkäufer auf Online-Kleinanzeigen-Plattformen angreift. Drei dokumentierte Fälle aus dem ersten Halbjahr 2025 zeigen: Die Betrüger werden kreativer – und die Opfer ahnungslos.

Die neue Masche: QR-Codes statt Überweisungen

In Iserlohn, Meinerzhagen und Altena (Märkischer Kreis) wurden im ersten Halbjahr 2025 drei Betrugsfälle gemeldet, bei denen Verkäufer auf Kleinanzeigen-Portalen Opfer einer neuen Quishing-Methode wurden.

Die Masche ist perfide: Ein vermeintlicher Käufer meldet sich auf die Anzeige – sei es für eine Kamera, Schuhe oder einen Lego-Bausatz. Statt einer normalen Überweisung sendet der 'Käufer' einen QR-Code mit dem Hinweis, dies sei der schnellste Weg zur Bezahlung.

Die dokumentierten Fälle:

  • Iserlohn (Januar 2025): Kameraverkäufer erhält QR-Code, scannt ihn, landet auf gefälschter Zahlungsseite
  • Meinerzhagen (Februar 2025): Schuhverkäufer erhält Code via WhatsApp, gibt Bankdaten ein
  • Altena (März 2025): Lego-Verkäufer wird über manipulierten Code zur Eingabe der Login-Daten aufgefordert

So funktioniert der Betrug

Schritt 1: Kontaktaufnahme

Der Betrüger antwortet auf eine Kleinanzeige und gibt sich als seriöser Käufer aus. Die Kommunikation erfolgt oft über WhatsApp oder E-Mail.

Schritt 2: QR-Code statt Überweisung

Statt einer normalen Banküberweisung sendet der Betrüger einen QR-Code mit der Erklärung: 'Scannen Sie diesen Code, um die Zahlung zu bestätigen' oder 'So können Sie schnell das Geld erhalten'.

Schritt 3: Gefälschte Zahlungsseite

Der QR-Code führt zu einer täuschend echt nachgebauten Webseite eines bekannten Zahlungsdienstleisters (PayPal, Klarna, etc.). Die Seite sieht professionell aus – mit Logo, korrekten Farben und realistischem Design.

Schritt 4: Datendiebstahl

Das Opfer wird aufgefordert, 'zur Verifizierung' seine Bankdaten oder Login-Informationen einzugeben. Sobald die Daten eingegeben werden, haben die Betrüger Zugriff auf das Konto.

Schritt 5: Unberechtigte Abbuchung

Statt Geld zu erhalten, wird das Konto des Verkäufers belastet. Oft werden sofort mehrere Transaktionen ausgeführt, bevor das Opfer den Betrug bemerkt.

Warum diese Masche so gefährlich ist

Vertrauen in den Verkaufsprozess

Verkäufer erwarten Geld zu erhalten, nicht zu zahlen. Die Aussicht auf eine schnelle Bezahlung senkt die Wachsamkeit.

Täuschend echte Fake-Seiten

Die gefälschten Zahlungsseiten sind professionell gestaltet und kaum von echten Websites zu unterscheiden. Selbst die URL sieht auf den ersten Blick legitim aus (z.B. 'paypa1-secure.com' statt 'paypal.com').

Zeitdruck und Manipulation

Betrüger setzen Verkäufer unter Zeitdruck: 'Ich brauche den Artikel dringend' oder 'Ich überweise sofort, wenn Sie den Code scannen'.

Kommunikation außerhalb der Plattform

Sobald die Kommunikation von der Kleinanzeigen-Plattform zu WhatsApp oder E-Mail wechselt, fallen die Sicherheitsmechanismen der Plattform weg.

Polizeiliche Empfehlungen: So schützen Sie sich

Die Polizei Wuppertal gibt klare Handlungsempfehlungen für Verkäufer auf Online-Plattformen:

1. Bleiben Sie auf der Plattform

Führen Sie alle Verkaufsverhandlungen innerhalb der Kleinanzeigen-Plattform durch. Wechseln Sie nicht zu WhatsApp, E-Mail oder anderen Kanälen.

2. Keine QR-Codes für Zahlungen

Seriöse Käufer überweisen direkt per Banküberweisung oder nutzen die Bezahlfunktion der Plattform. QR-Codes sind für Zahlungsempfänger NICHT üblich.

3. Überprüfen Sie Internet-Adressen

Wenn Sie einen QR-Code scannen müssen, überprüfen Sie die URL der Zielseite genau. Achten Sie auf Tippfehler, zusätzliche Zeichen oder ungewöhnliche Domains.

4. Niemals Login-Daten eingeben

Als Verkäufer müssen Sie sich nirgendwo 'anmelden' oder 'verifizieren', um Geld zu empfangen. Wer nach Login-Daten fragt, ist ein Betrüger.

5. Seien Sie misstrauisch bei Zeitdruck

Betrüger setzen Verkäufer unter Zeitdruck. Seriöse Käufer haben kein Problem damit, auf eine normale Überweisung zu warten.

QRTrust: Technischer Schutz vor Kleinanzeigen-Betrug

Während die Polizei aufklärt, bietet QRTrust technischen Schutz. Bevor Sie einen QR-Code scannen – egal ob auf Kleinanzeigen, Parkautomaten oder in Behördenpost – prüft QRTrust in Echtzeit, ob die Ziel-URL sicher ist.

So schützt QRTrust Sie:

  • QR-Code mit QRTrust scannen statt mit der Kamera-App
  • Sofortige Prüfung gegen 50.000+ bekannte Phishing-URLs
  • KI-basierte Erkennung verdächtiger Muster (z.B. Tippfehler in Domain-Namen)
  • Redirect-Verfolgung: QRTrust folgt Weiterleitungen und zeigt die finale Ziel-URL
  • Klare Warnung VOR dem Besuch der Seite – nicht erst danach

So nutzen Sie QRTrust:

  1. qrtrust.de im Browser öffnen (funktioniert auf jedem Smartphone)
  2. "QR-Code scannen" antippen
  3. Kamera auf den Code halten
  4. Ergebnis abwarten: Grün (sicher), Gelb (unsicher), Rot (Gefahr)
  5. Nur bei grünem Ergebnis fortfahren

Für Kleinanzeigen-Plattformen: Integration möglich

Plattformen wie eBay Kleinanzeigen, Vinted oder Kleinanzeigen.de können QRTrust direkt integrieren, um ihre Nutzer zu schützen:

API-Integration

QRTrust bietet eine REST-API, die jede Plattform in ihre Sicherheitssysteme einbinden kann. Verdächtige QR-Codes werden automatisch blockiert.

Browser-Extension

Nutzer können die QRTrust-Extension installieren, die automatisch alle QR-Codes auf Webseiten prüft.

Whitelisting

Plattformen können ihre offiziellen QR-Codes (z.B. für Zahlungen) bei QRTrust als sicher markieren lassen.

Was tun, wenn Sie Opfer geworden sind?

Falls Sie bereits einen verdächtigen QR-Code gescannt und Daten eingegeben haben:

1. Bank sofort kontaktieren

Rufen Sie unverzüglich Ihre Bank an und lassen Sie Ihre Karte sperren. Viele Banken können Transaktionen noch stoppen, wenn Sie schnell handeln.

2. Passwörter ändern

Ändern Sie alle Passwörter, die Sie auf der gefälschten Seite eingegeben haben – insbesondere für Online-Banking und E-Mail.

3. Polizei informieren

Erstatten Sie Anzeige bei Ihrer örtlichen Polizei oder online über die Onlinewache NRW. Sammeln Sie alle Beweise (Screenshots, Chat-Verläufe, Telefonnummern).

4. Plattform melden

Melden Sie den Betrug der Kleinanzeigen-Plattform. Diese kann den Betrüger sperren und andere Nutzer warnen.

5. Phishing-URL melden

Melden Sie die gefälschte Website bei QRTrust (qrtrust.de) oder direkt bei Google Safe Browsing, damit andere Nutzer gewarnt werden.

Fazit: Neue Quishing-Welle erfordert Wachsamkeit

Die Fälle aus dem Märkischen Kreis zeigen: Quishing ist längst nicht mehr nur auf Parkautomaten und Behördenpost beschränkt. Betrüger nutzen jede Gelegenheit, wo Menschen QR-Codes scannen – jetzt auch beim Online-Verkauf.

Die Polizei appelliert an Verkäufer: Bleiben Sie auf der Plattform, akzeptieren Sie keine QR-Codes für Zahlungen, und seien Sie misstrauisch bei Zeitdruck.

Technische Lösungen wie QRTrust bieten zusätzlichen Schutz. Wer vor dem Scannen prüft, kann Betrug verhindern, bevor Schaden entsteht.

Quelle

*Über QRTrust: QRTrust ist die erste deutsche QR-Code-Sicherheitsplattform, entwickelt in Dortmund. Mit KI-gestützter Echtzeit-Erkennung, lokaler Bedrohungsdatenbank und 6-Schicht-Sicherheitscheck schützt QRTrust Bürger, Behörden und Unternehmen vor Quishing-Angriffen. DSGVO-konform, gehostet in Deutschland. Teilnehmer bei start2grow, dem Gründerwettbewerb der Wirtschaftsförderung Dortmund.*

Zurück zum Blog