Manipulierte Rechnung per E-Mail

Kriminelle, die Mailaccounts hacken, können auch Rechnungen abfangen, mit veränderten Bankdaten versehen und diese Rechnungen im Postfach platzieren.

Nach dem Kauf eines Neuwagens von knapp 62.000 Euro erging es einer Fahrschule so. Diese Fahrschule hat die Rechnung für einen neuen Audi Q5 beglichen, die sie per E-Mail erhalten hatte. Die Bankdaten hatte die Inhaberin mit der Rechnung per Mail zugestellt bekommen. Das Geld kam jedoch beim Autohaus, bei dem sie das Auto gekauft hatte, nie an. Eine Woche später erkundigte sich ein Mitarbeiter des Autohauses telefonisch nach dem Verbleib des Geldes. Der Mitarbeiter hatte die Kundin gefragt, an welche Bankverbindung sie das Geld denn gesendet habe. Die Kundin sagte ihm am Telefon: „Es ist ja nur eine drauf“. Das Autohaus habe ihr aber eine Rechnung mit zwei Bankverbindungen per Mail geschickt, die ihr dann noch einmal per Mail geschickt worden sei. Diese habe sie aber davor nicht gesehen.
Nachdem beide Schriftstücke verglichen wurden, war dann klar, dass das zugestellte Dokument manipuliert worden war. Die IBAN auf der manipulierten Rechnung verwies auf ein Konto der spanischen Banco Bilbao.

Problem: Die IBAN hatte eine DE-Kennung, weil die Bank über eine deutsche Niederlassung verfügt. Der Name des angeblichen Kontoinhabers Ionut Lazar war dem Audi-Autohaus nicht bekannt. Also wurde die Polizei eingeschaltet.
Das .spanische Konto war der Bank selbst schon wegen verdächtiger Zahlungsbewegungen aufgefallen. Das Geld wurde dann „eingefroren“. Somit sind nicht die ganzen 62.000 Euro verloren. Das Autohaus hat zwischenzeitlich von dem sichergestellten Geld der spanischen Bank die Hälfte ihrer überwiesenen Summe zurückbekommen. Vermutlich gibt es noch weitere Geschädigte, die mit derselben Masche übers Ohr gehauen wurden, weil in der Vergangenheit viele auf das Konto überwiesen haben.

Polizei und Banken raten:
E-Mail-Sicherheit und Datencheck
Immer wieder versuchen Kriminelle, an Passwörter zu kommen, um mit Accounts und Mailpostfächern ihrer Opfer fiese Geschäfte zu machen. z.B. im Darknet werden solche Daten zum Verkauf angeboten. Sie hacken die Accounts oder loggen sich einfach ein und schauen, ob dort diverse Rechnungen ein- und ausgehen. Diese können dann unauffällig manipuliert und ausgetauscht werden.

E-Mail-Sicherheit sollte oberstes Prinzip sein. Auch ein Check von Rechnungen, die per E-Mail kommen und deren Betrag per Konto überwiesen werden sollen, ist anzuraten. Inzwischen prüfen zwar Banken, ob Name Kontoinhaber und IBAN zusammenpassen, aber wenn beides geändert wird, sieht es schlecht aus. Die Empfängerprüfung durch die Bank fällt in diesem Fall ja positiv aus. Daher sollte man Empfänger und Kontoverbindung checken!

Der Bundesverband deutscher Banken rät: Prüfen Sie Rechnungen: ist die Rechnungssumme erwartungsgemäß? Stimmen die Angaben des Rechnungsausstellers mit früheren Zahlungen überein? Abgleich der Rechnungsdaten mit der ursprünglichen Bestellung ist hier hilfreich. Bestätigung bei Änderungen: Wenn ein Dienstleister oder Lieferant seine Bankverbindung ändert, kontaktieren sie ihn direkt, um die Änderung zu verifizieren.

Kontaktieren Sie diesen über die bisher bekannten Kontaktinformationen und nicht über die in der E-Mail oder auf der neuen Rechnung angegebenen.