Woche 24: Phishing im Briefkasten – Gefälschter QR-Code auf Abholungseinladung

16.06.2026 - In der vergangenen Woche erhielt das BACS eine Meldung zu einer raffinierten Betrugsmasche, die ein physisches Dokument mit digitalen Phishing-Techniken kombiniert. Die Täterschaft deponiert gefälschte Abholungseinladungen («Avis de passage») im Namen der Schweizerischen Post in den Briefkästen der potenziellen Opfer.

Im Normalfall machen sich Täter gezielt die Eigenschaften des Internets zunutze: Sie verwischen Spuren, verschleiern ihre Identität und versuchen so einer Verhaftung zu entgehen. Eine physische Präsenz im Land ihrer Opfer vermeiden sie aber mit allen Mitteln. Trotzdem erhält das BACS immer wieder Meldungen zu Angriffen aus dem Cyberraum, die mit analogen Kommunikationsmitteln verknüpft werden. Beispielsweise durch die Kleber mit gefälschten QR-Codes an Parkautomaten oder durch das Versenden von vermeintlichen Parkgebühren-SMS mit dem SMS-Blaster. Aktuell werden gefälschte Abholeinladungen in Briefkästen geworfen. Die Opfer finden zunächst ein Dokument in ihrem Briefkasten, das der echten gelben Abholeinladung der Schweizer Post optisch stark ähnelt. Es imitiert geschickt die Farben sowie das Logo der Post und enthält plausible Informationen über eine angeblich gescheiterte Paketübergabe. Um eine neue Zustellung zu planen, werden die Empfänger angewiesen, einen aufgedruckten QR-Code zu scannen.

Gefälschte Lieferbenachrichtigung im Briefkasten mit QR-Code.
Gefälschte Lieferbenachrichtigung im Briefkasten mit QR-Code.

Damit werden die Opfer in den digitalen Raum geleitet und auf eine gefälschte Website geführt, die von der echten Webpräsenz der Post kaum zu unterscheiden ist. Es wird behauptet, ein Paket sei blockiert und eine erneute Zustellung müsse organisiert werden. Um die Zustellung erneut zu starten, seien zusätzliche Angaben notwendig.

Die Terminauswahl für einen neuen «Zustellversuch» dient dazu, das Opfer vom eigentlichen Betrug abzulenken.
Die Terminauswahl für einen neuen «Zustellversuch» dient dazu, das Opfer vom eigentlichen Betrug abzulenken.

Im weiteren Verlauf sollen die Opfer ein neues Lieferfenster auswählen. Dieser Schritt dient nur dazu, die Opfer vom eigentlichen Betrug abzulenken und ihnen das Gefühl zu geben, dass es sich tatsächlich um eine erneute Zustellung handelt. Der eigentliche Betrug beginnt danach. Es müssen weitreichende persönliche Informationen wie Name, Geburtsdatum, Postadresse, E-Mail-Adresse sowie zwingend eine Schweizer Telefonnummer eingegeben werden.

 Zahlreiche Angaben wie z. B. das Geburtsdatum werden abgefragt.

Zahlreiche Angaben wie z. B. das Geburtsdatum werden abgefragt.

Anschliessend schnappt die Kostenfalle zu. Für die vermeintliche erneute Zustellung werden angebliche Bearbeitungsgebühren verlangt, oft in Höhe von CHF 2.10. Interessanterweise wird dieser Betrag im eigentlichen Bezahlvorgang teils leicht abweichend mit CHF 3.99 angegeben. Das eigentliche Ziel ist schliesslich der Diebstahl der Kreditkartendaten, denn die Bezahlung lässt sich ausschliesslich mit einer Kreditkarte durchführen. Zwar werden auf der gefälschten Seite alternative Zahlungsmittel wie TWINT angezeigt, diese sind jedoch funktionslos und stets als «indisponible» (nicht verfügbar) markiert.

Am Schluss wird nach Kreditkartendaten gefragt, die dann für eine betrügerische Abbuchung missbraucht werden.
Am Schluss wird nach Kreditkartendaten gefragt, die dann für eine betrügerische Abbuchung missbraucht werden.

Hintergrund des Angriffs und Ziel der Angreifer

Ein Lieferschein der Post wirkt vertraut und genau das macht ihn in diesem Fall so gefährlich. Weil Menschen solche Benachrichtigungen aus ihrem Alltag kennen, greifen sie unbewusst auf eingeübte Routinen zurück. Die Skepsis, die viele inzwischen bei E-Mails oder SMS entwickelt haben, bleibt beim Griff in den Briefkasten aus. Kaum jemand vermutet hinter dem vertrauten Postzettel einen Cyberbetrug. Hinzu kommt, dass ein angeblich nicht zustellbares Paket Neugier und ein Gefühl von Dringlichkeit weckt. Niemand möchte eine Sendung verpassen. Auch die geringe Gebühr von wenigen Franken ist bewusst gewählt.

Die Betrüger verfolgen bei diesen Angriffen gleich zwei Ziele: Einerseits sammeln die Kriminellen umfangreiche persönliche Daten, die für einen späteren Identitätsdiebstahl missbraucht werden können. Andererseits werden so Kreditkartendaten abgegriffen, die dann im weiteren Verlauf für eine betrügerische Zahlung verwendet werden. Bisher wurden dem BACS die hier beschriebenen betrügerischen «Abholeinladungen» ausschliesslich aus der Westschweiz gemeldet.

Physische Angriffe bergen für die Täter stets das Risiko, von den Schweizer Strafverfolgungsbehörden auf frischer Tat ertappt zu werden. Daher werden entsprechende Handlungen in der Regel nicht von den Tätern selbst, sondern von angeworbenen, ahnungslosen Personen durchgeführt, denen der kriminelle Kontext ihres Handelns oftmals nicht bewusst ist.

Empfehlungen

  • Die Schweizerische Post verlangt in der Regel keine Gebühren für eine standardmässige zweite Zustellung.
  • Scannen Sie QR-Codes auf unerwarteten physischen Dokumenten nur mit grösster Vorsicht. Überprüfen Sie vor allem die Internetadresse, die dabei geöffnet wird.
  • Rufen Sie für das Verwalten von Postsendungen oder das Überprüfen von Abholungseinladungen immer direkt die offizielle Website der Post auf oder nutzen Sie die offizielle Post-App. Geben Sie die Sendungsnummer auf dem Zettel manuell in der Sendungsverfolgung auf der offiziellen Postseite oder in der Post-App ein, statt den QR-Code zu scannen. Existiert die Nummer dort nicht, handelt es sich womöglich um einen Betrugsversuch.
  • Sollten Sie auf einer solchen Seite bereits persönliche Informationen und Zahlungsdaten eingegeben haben, kontaktieren Sie umgehend Ihre Bank oder Ihr Kreditkarteninstitut, um die betroffene Karte sperren zu lassen.
  • Um ein Paket zugestellt zu bekommen, ist die Angabe des Geburtsdatums nicht notwendig.

Weiterführende Informationen

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 16.06.2026

Zum Seitenanfang

https://www.ncsc.admin.ch/vanity/ncsc/26w24-de