Titelbild:Beispielbild Pixabay
Der Brushing-Betrug ist eine perfide Methode, die vor allem im Online-Handel wie bei Amazon oder anderen Plattformen vorkommt und in den letzten Monaten eine neue, gefährlichere Variante entwickelt hat. Dabei erhalten Betroffene unerwartete Pakete mit Waren, die sie nie bestellt haben – oft billige Artikel wie Kosmetika, Kleidung, Saatgut oder kleine Elektronikgadgete. Der Name „Brushing“ leitet sich vom englischen „to brush up“ ab, was so viel wie „aufpolieren“ oder „aufmöbeln“ bedeutet, denn die Täter nutzen diese Sendungen, um ihre Verkaufsprofile künstlich aufzuwerten. Sie besorgen sich Namen und Adressen aus Datenlecks, dem Dark Web, sozialen Medien oder öffentlichen Verzeichnissen und erstellen dann ein gefälschtes Konto in Ihrem Namen auf der Plattform. Von dort aus „bestellen“ sie die Ware, die an Ihre Adresse geht, und hinterlassen anschließend eine positive Fünf-Sterne-Bewertung als „verifizierter Käufer“.
Das täuscht Algorithmen und andere Nutzer vor, dass das Produkt beliebt ist, was den Verkäufer in den Suchrankings nach oben katapultiert und mehr echte Käufe anzieht. Für Sie als Empfänger entstehen zunächst keine Kosten – Sie dürfen das Paket sogar behalten, da es rechtlich als unbestellte Ware gilt und keine Zahlungspflicht besteht. Allerdings ist das Ganze ein Warnsignal: Ihre Daten sind kompromittiert, was zu Identitätsdiebstahl oder weiteren Angriffen führen kann.
In der klassischen Form war Brushing schon seit Jahren bekannt, aber seit Mitte 2025 gibt es eine alarmierende Weiterentwicklung, vor der sogar das FBI warnt. Die Betrüger verzichten nun oft auf eine Absenderadresse, um Neugier zu wecken, und legen stattdessen einen QR-Code ins Paket bei, der mit einer Notiz wie „Scannen Sie, um den Absender zu erfahren“ versehen ist. Wer diesen scannt, wird auf eine täuschend echte Falschseite weitergeleitet, die nach Passwörtern, Kreditkarteninformationen oder Banking-Zugangsdaten fragt – ein klassischer Phishing-Angriff, der manchmal sogar mit Malware oder Schadsoftware kombiniert ist, die unbemerkt installiert wird. Das Ziel ist nicht mehr nur das Aufpolieren von Bewertungen, sondern direkter Finanzbetrug, etwa durch Kontoübernahmen oder Diebstahl von Kryptowährungen.
Diese „Quishing“-Variante (QR-Phishing) ist noch nicht massenhaft verbreitet, breitet sich aber rasch aus, besonders aus China kommend, wo der Ursprung der Methode liegt. Behörden wie die US-Post oder Verbraucherschützer raten dringend, solche Codes nie zu scannen und das Paket sofort zu melden.
Was tun, wenn Ihnen das passiert?
Zuerst prüfen Sie, ob es wirklich kein Geschenk von Bekannten ist und fragen Sie in der Familie nach. Dann kontrollieren Sie Ihre Online-Konten auf unbefugte Aktivitäten, ändern Sie Passwörter und aktivieren Sie Zwei-Faktor-Authentifizierung. Öffnen Sie das Paket nicht unnötig, entsorgen Sie den Inhalt sicher, besonders bei potenziell gefährlichen Produkten wie Saatgut oder Elektronik und melden Sie den Vorfall umgehend bei der Plattform, z. B. über das spezielle Amazon-Formular für unerwünschte Pakete. Geben Sie dabei Tracking-Nummer und ein Foto des Etiketts an, damit die Ermittlungen starten können. Plattformen wie Amazon sperren bei Verdacht die Verkäuferkonten, halten Zahlungen zurück und kooperieren mit der Polizei. Langfristig schützen Sie sich, indem Sie persönliche Daten in sozialen Medien minimieren, starke Passwörter nutzen und verdächtige Bewertungen bei Käufen ignorieren. So bleibt der Betrug, der andere täuscht und Ihre Privatsphäre verletzt, hoffentlich ein einmaliges Ärgernis.
