Haben Sie Fragen? Rufen Sie uns an!

Täuschung mit amtlichem Anstrich: Vorsicht vor Fake-Rechnungen

05.05.2024


„Handlungsbedarf: Verspätungszuschlag … anbei erhalten Sie die Unterlagen zum Verspätungszuschlag für die verspätete Einreichung Ihrer Steuererklärung 2023.“

„Verpflichtende Teilnahme am DGUV-Präventionsmodul 2025 … Der Rechnungsbetrag ist sofort nach Erhalt fällig. Bei Verzug erfolgt eine Beitragserhöhung um bis zu 5%.“

ZAC: Hmm, das klingt ja wieder so offiziell, aber irgendwas stimmt da doch nicht.

Worum geht es im heutigen Beitrag?
Jahr für Jahr versuchen betrügerische Gruppierungen mit neuen oder leicht abgewandelten Maschen unter dem Deckmantel offizieller Stellen, sich unrechtmäßig finanziell zu bereichern. Aktuell werden in großer Zahl gefälschte Rechnungen im Namen der DGUV (Deutsche Gesetzliche Unfallversicherung) und des BZSt (Bundeszentralamt für Steuern) per E-Mail oder Post versendet. Zu diesen Vorfällen liegen bereits mehrere Warnhinweise und Meldungen vor:

Warum berichtet auch die ZAC über dieses Thema?
ZAC: Weil wir Ihnen diese Betrugsmasche etwas detaillierter erläutern möchten – insbesondere eine aktuelle Variante, die derzeit besonders häufig vorkommt.



Betrugsmasche im Detail

Verwendete Domains
Für den Versand der betrügerischen E-Mails kommen unterschiedliche Domains zum Einsatz, beispielsweise:
  • steuern@bzst-zahlungsfrist.com
  • mitteilung@bzst-nachzahlung.com
  • anordnung@bzst-meldungen.com
  • ...

Diese Domains werden in der Regel nur für den E-Mail-Versand genutzt. Häufig greifen die Täter dabei lediglich auf die MX-Records (Mailserver) zurück. Solche Domains lassen sich kostengünstig registrieren – gängige Authentifizierungsmechanismen wie SPF, DKIM und DMARC sind meist bereits aktiv, was die E-Mails auf den ersten Blick seriös wirken lässt.
Eine zusätzliche Täuschung erfolgt durch Weiterleitungen: So führt etwa bzst-zahlungsfrist.com auf die offizielle Website bzst.de. Diese Maßnahme erhöht die Glaubwürdigkeit der gefälschten E-Mail erheblich.
Laut einer kurzen OSINT-Recherche könnte die Domain bei einem russischen Anbieter registriert worden sein. Zumindest der Mailserver wurde darüber betrieben, wie die nachfolgende Analyse zeigt:



Da es sich um historische Daten handelt, ist nicht ausgeschlossen, dass sich der Anbieter inzwischen geändert hat.

E-Mail-Header
Jede E-Mail enthält einen einfachen sowie einen erweiterten Header, über den sich die Versandroute zurückverfolgen lässt. Allerdings können diese Informationen manipuliert sein, um den tatsächlichen Ursprung zu verschleiern. Im erweiterten Header taucht eine IP-Adresse auf, die einem russischen Maildienst zugeordnet ist.



Fazit bis hierhin
Die Analyse deutet darauf hin, dass der Versand der E-Mails über russische Mailserver bzw. SMTP-Dienste erfolgt ist.

Inhalt der E-Mail
Die Texte solcher E-Mails sind meist sehr ähnlich aufgebaut. Ziel ist es, mit juristisch klingenden Begriffen und Formulierungen Druck aufzubauen oder sogar Angst zu erzeugen, etwa durch:
  • „Amtliches Schreiben“
  • „Aktion erforderlich“
  • „Wichtig“
  • „Verspätungszuschlag gemäß § 152 AO“
  • „Bei ausbleibender Zahlung drohen Vollstreckungsmaßnahmen gemäß §§ 254 ff. AO“

Anhang
Oft ist der betrügerischen E-Mail ein PDF-Dokument beigefügt, das wie eine echte Rechnung wirkt.
Seite 1:
Die Sprache des E-Mail-Textes findet sich im PDF wieder. Zur Steigerung der Glaubwürdigkeit enthält das Dokument einen gestempelten Unterschriftsblock und den Hinweis, dass Rückfragen nicht erwünscht seien.



Seite 2:
Spätestens hier sollte man skeptisch werden: Die angegebene IBAN ist spanisch – ein klares Warnsignal. Denkbar wäre jedoch auch die Nutzung eines deutschen Kontos eines sogenannten Finanzagenten („Money Mule“) oder eines missbräuchlich verwendeten Kontos.



Wie können Sie sich schützen?
  • Wie bei jeder betrügerischen E-Mail die Absender-Adresse überprüfen
  • Inhalt auf Unstimmigkeiten kontrollieren (Rechtschreibung, fehlende persönliche Anrede, ausländische Bankdaten…)
  • Links nicht direkt anklicken und Anhänge vorab überprüfen
  • Telefonnummer nicht direkt aus der E-Mail anrufen (könnte von der originalen Nummer abweichen)
  • Bei Zahlung: Bank unverzüglich kontaktieren und Karte sperren lassen, Anzeige erstatten


  • Quelle:
    [1] Censys Search,

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/82

Klicken Sie hier und abonnieren Sie unseren Newsletter.