QRTrust Logo
You scan. We protect.
Zurück zum Blog
Sicherheit

Zettel hinter dem Scheibenwischer? Polen warnt vor Quishing-Masche 'Finanzamt'

5 Min. Lesezeit

In Polen tauchen Zettel hinter Autoscheibenwischern auf, die wie offizielle Schreiben der Steuerverwaltung aussehen. Ein QR-Code darauf führt jedoch direkt in eine Phishing-Falle – Kriminelle greifen Personenkennziffern, Login-Daten und Kreditkartendaten ab.

Was ist passiert?

In Polen warnen Medien und Behörden vor einer neuen, raffinierten Quishing-Masche: Kriminelle klemmen Zettel hinter die Scheibenwischer geparkter Autos, die wie offizielle Schreiben der polnischen Steuerverwaltung KAS (Krajowa Administracja Skarbowa) gestaltet sind. Mit Behördenlogo, Aktenzeichen und Dringlichkeitsvermerk wirken die Karten auf den ersten Blick absolut echt.

Auf dem Zettel prangt ein QR-Code – angeblich zur Überprüfung einer 'offenen Forderung' oder zur 'Datenvervollständigung'. Wer ihn scannt, landet auf einer täuschend echt nachgebauten Regierungsseite. Dort wird nach einer 'Nachzahlung', der PESEL-Nummer (dem polnischen Äquivalent zur Steuer-Identifikationsnummer) sowie Login- und Kreditkartendaten gefragt.

Die KAS stellt ausdrücklich klar: Die Steuerverwaltung hinterlässt keine Aufforderungen hinter Scheibenwischern und wickelt Zahlungen niemals über zufällige QR-Codes ab. Jede solche Karte ist mit an Sicherheit grenzender Wahrscheinlichkeit ein Betrugsversuch.

Die Masche in fünf Schritten

  1. Kriminelle drucken amtlich aussehende Zettel mit Behördenlogo, Aktenzeichen und 'Zahlungsaufforderung'
  2. Die Zettel werden auf belebten Parkplätzen hinter Scheibenwischer geklemmt – bevorzugt Innenstadt, Klinik- und Einkaufszentren
  3. Der Fahrer scannt den QR-Code, um die vermeintliche Forderung schnell abzuwickeln
  4. Eine nachgebaute gov.pl-Seite fordert PESEL, Adresse, Login und eine 'Kleinstnachzahlung' per Kreditkarte
  5. Mit den abgegriffenen Daten übernehmen die Täter Konten, lösen Abbuchungen aus oder verkaufen die Identität im Darknet weiter

Warnsignale: So erkennen Sie die Fälschung

Behördenzettel am Auto

Weder Finanzamt, Polizei noch Ordnungsamt hinterlassen Zahlungsaufforderungen hinter Scheibenwischern. Ein 'Behördenschreiben' an der Windschutzscheibe ist per Definition verdächtig.

QR-Code zur 'Zahlung'

Echte Behörden wickeln Zahlungen nie über zufällige QR-Codes ab. Wer per QR zur Kasse gebeten wird, hat es fast sicher mit Betrügern zu tun.

Zeitdruck und Drohung

Formulierungen wie 'letzte Mahnung', 'sofort handeln' oder 'Zwangsvollstreckung droht' sind klassische Phishing-Marker, die zu unüberlegten Reaktionen verleiten sollen.

Kein offizieller Kontaktweg

Echte Behörden bieten immer Telefon, Postanschrift und überprüfbares Aktenzeichen – niemals nur einen Link oder QR-Code auf einem Zettel.

Warum diese Masche auch Deutschland treffen wird

Quishing zieht sich seit 2024 quer durch Europa. Was heute in Warschau und Krakau passiert, landet erfahrungsgemäß binnen Wochen in Deutschland. Wir kennen hier bereits: gefälschte Bankbriefe (Tauberbischofsheim, März 2026), manipulierte Parkautomaten (Dortmund, ab Januar 2025) und präparierte E-Ladesäulen (Schwabenheim, März 2026). Der Zettel hinter dem Scheibenwischer ist der logische nächste Schritt – ein perfekter Cold-Channel-Angriff direkt am parkenden Auto.

So schützen Sie sich

  • Ignorieren Sie Zettel hinter Scheibenwischern mit Behördenlogo und QR-Code – sie sind fast immer ein Betrugsversuch
  • Scannen Sie niemals QR-Codes aus unbekannter Quelle, besonders nicht, wenn zur Zahlung aufgefordert wird
  • Geben Sie niemals Personen- oder Zahlungsdaten auf Seiten ein, die Sie über einen QR-Code erreicht haben
  • Verifizieren Sie jede angebliche Forderung direkt beim Finanzamt, Ordnungsamt oder der Bank – über offizielle Telefonnummern, nicht über Kontakte vom Zettel
  • Melden Sie verdächtige Karten der örtlichen Polizei und fotografieren Sie den Zettel sowie den Fundort

QRTrust: Check vor dem Scan – statt Schaden nach dem Scan

Mit QRTrust prüfen Sie jeden verdächtigen QR-Code, bevor Sie die Zielseite öffnen. Unsere 6-Schicht-Analyse läuft in Echtzeit gegen PhishTank, Google Safe Browsing und unsere eigene KI – bevor Sie auf einer Fake-Seite landen.

So bleiben Finanzamt, Polizei und Bank die einzigen Stellen, die tatsächlich Ihre Daten erhalten. 100 % DSGVO-konform, gehostet in Deutschland.

Jetzt QR-Code sicher prüfen

Quelle

*Über QRTrust: QRTrust ist die erste deutsche QR-Code-Sicherheitsplattform, entwickelt in Dortmund. Mit KI-gestützter Echtzeit-Erkennung schützt QRTrust Bürger und Unternehmen vor Quishing-Angriffen. 100% DSGVO-konform, gehostet in Deutschland.*

Zurück zum Blog