Vorsicht vor gefälschten Rechnungen in der Praxis
A&W RedaktionÄrzte und Praxismitarbeiter müssen in nächster Zeit mit dem Eingang gefährlicher E-Mails rechnen. Mit zwei dreisten Betrugsmaschen versuchen Unbekannte derzeit an Kontoverbindungen zu kommen und sich Zahlungen zu erschleichen. In einem Fall ist der Betrug gar nicht so einfach zu erkennen.
Im asiatischen Raum ist die folgende Betrugsmasche schon länger bekannt, nun breitet sie sich auch in Deutschland aus, weshalb Ärzte angebliche Rechnungen ihrer Geschäftspartner künftig genauer prüfen sollten. Wie das LKA Baden-Württemberg warnt, geht es aber nicht nur um gefälschte Zahlungsaufforderungen: Die Betrüger “hacken” sich auch in die beteiligten E-Mail-Server ein.
E-Mails abgefangen
Sie schalten sich in die Kommunikation ein und kriegen so genau mit, welche Geschäftsverbindungen bestehen. Dann fangen sie relevante E-Mails ab und verändern die Inhalte teilweise oder auch ganz.
Das hat zur Folge, dass dem Betroffenen lange Zeit nichts auffällt. So bekommt beispielsweise der Praxisinhaber wie gewohnt eine Rechnung seines Dienstleisters. Dieser teilt in dem Schreiben allerdings mit, dass sich seine Kontodaten geändert haben. Das Konto, auf das das Geld überwiesen wird, gehört aber nicht dem Dienstleister, sondern den Betrügern.
Betrug blieb unentdeckt
Da die Täter den E-Mail-Verkehr überwachen und manipulieren, bleibt der Betrug bei Nachfragen per E-Mail erstmals unentdeckt. In manchen Fällen wird die Rechnung mit den angeblich geänderten Kontodaten auch noch per Post verschickt, um die Glaubwürdigkeit zu untermauern.
Um einem solchen Betrug vorzubeugen, rät das LKA Baden-Württemberg daher zu folgenden Maßnahmen:
- Sensibilisieren Sie Ihre Mitarbeiter gegenüber dieser Betrugsmasche.
- Überprüfen Sie E-Mails mit Rechnungen sorgfältig auf den richtigen Absender und die korrekte Schreibweise der E-Mail Domain.
- Prüfen Sie bei verdächtigen E-Mails die vorliegenden Informationen über einen zweiten Kommunikationskanal. Nutzen Sie statt E-Mail hierzu z.B. das Telefon.
- Halten Sie Ihre Software stets auf dem neuesten Stand (beispielsweise durch ein Patchmanagementsystem).
- Weisen sie prophylaktisch in Ihrer geschäftlichen E-Mail Signatur darauf hin, dass Sie Ihren Kunden eine Änderung der Bankverbindung niemals via E-Mail mitteilen werden.
- Wenn möglich, nutzen Sie digitale Signaturen.
Ist der Schadensfall bereits eingetreten, sollten Sie Ihre Bank und die Zentrale Ansprechstelle Cybercrime (ZAC) informieren.
Das angebliche Finanzamt fordert Daten ein
Die andere Masche ist nicht neu, aber derzeit leider wieder sehr aktuell: Laut Warnung des Landesamts für Steuern werden vermehrt gefälschte E-Mails im Namen der Steuerverwaltung versendet. Als Absender wird zum Beispiel das “Finanzamt West” oder das “Finanzamt IV” genannt. Im Betreff wird die Erstattung eines Guthabens angekündigt.
Meistens wird der Empfänger aufgefordert, auf einen Link zu klicken und sich dort mit seiner E-Mail-Adresse anzumelden. In allen bisher bekannten Fällen wurde auch versucht, an Anmeldedaten sowie Konto- und/oder Kreditkarteninformationen von Steuerzahlern zu gelangen.
Dr. Roland Jüptner, Präsident des Landesamtes für Steuern, weist darauf hin, dass die Steuerverwaltung niemals Informationen wie Steuernummer, Kontoverbindungen, Kreditkartennummern oder PIN per E-Mail anfordert.