Ja schönen guten Tag.
Ich wäre gestern _beinahe_ auf einen wirklich gut gemachten Phishingversuch reingefallen:
Auf unsere allgemeine Firmenmailadresse (1. Red Flag - über die kommunizieren wir eigentlich fast nie, die dient primär als Inbox) kam eine E-Mail einer deutschen Inkasso Firma.
Die üblichen Checks, die man so macht, bevor so eine Mail im Papierkorb landet, waren alle ok: Mail kam von einer .de Domain, die den Namen der Firma enthält, der Link in der E-Mail hatte auch tatsächlich das angegebene Ziel, eine Webadresse auf der gleichen Domain wie die der E-Mail, das Anschreiben war formal und inhaltlich sauber, keine Grammatik-oder Rechtschreibfehler.
Angehängt an die E-Mail waren zwei PDF Dokumente (2. Red Flag, bzw klicke ich niemals auf Attachments in mir unbekannten Mails), aber in der Vorschau des Mailclients sah man, dass es sich um ebenfalls formal und designtechnisch valide aussehende Rechungen handelte. Einmal die Inkasso-Rechnung, dann die vermeindliche original Rechnung, die wir angeblich nicht bezahlt hatten. Demnach hatten wir bei OTTO Bürobedarf im Wert von kanpp 16 EUR bestellt. Durch den Verzug und Mahngebühren entstand nun so angeblich eine Forderung von knapp 40 EUR.
Jetzt war ich irritiert. In der Mail gab es ein Aktenzeichen, unsere Firmenadresse war richtig und auch in der OTTO Rechnung war diese als Rechnung- und Versandadresse angegeben. Da wir eine sehr übersichtliche Firmengröße haben, war schnell klar, dass niemand da Büromaterial bestellt hatte und es ist auch nie eine Rechnung (geschweige denn Lieferung) hier angekommen.
Also war der Impuls: Ich muss da (bei der Inkassofirma) widersprechen. Also suchte ich im Web nach der Firma, und die ersten Treffer verwiesen auf eine Website/URL, die so lautete, wie die in der E-Mail, allerdings mit .com statt .de.
Auf dieser (sehr professionell wirkenden) Website schien alles auf eine "hier kannst du das schnell online regeln" Erfahrung abzuzielen. Inklusive eines "hier Aktenzeichen eingeben" Inputs.
Da ich nichts in der Mail geklickt hatte (3. Red Flag: Niemals, nie, irgendwelche Links in solchen Mails klicken), habe ich das Aktenzeichen aus der Mail da eingeben aus Neugier, wissend, dass ich damit evtl. ein Signal sende, dass die Mail ihr Ziel erreichte. Und in dem Moment war ich wirklich unsicher, ob der Vorgang zwar zu unrecht, aber trotzdem real war.
Nach Eingabe des Aktenzeichens erschienen alle Angaben aus der E-Mail 1:1, inklusive der hinterlegten PDF Rechnungen. Und eine Möglichkeit, den Vorgang duch "hier bezahlen" zu beenden. Was ich nicht vor hatte, weil ich wollte ja widersprechen.
Die Website hatte auch ein Impressum mit Firmensitz in Deutschland, Umsatzsteuer-ID, Kontaktabgaben - alles wirkte korrekt.
Aber trotzdem - irgendwas stimmt da nicht, dachte ich mir und so machten wir uns auf Recherche nach dieser Inkassofirma, schauten uns die Whois-Daten der verwendeten Domains an und dann war relativ schnell klar: Das ist ein betrügerischer Versuch, im Namen der (real existierenden) Inkasso-Firma unter Verwendung von (real existierenden) größeren Online-Händlern mittels kleiner Summen die Opfer auf diese Website samt State-Of-The-Art Payment-Provider zu bekommen.
Das finale Red Flag war tatsächlich der Whois Eintrag der .com Domain -- diese wurde erst am 17.3.26 registriert. Die .de Domain existiert schon länger, wurde aber am 17.3.26 modifiziert.
Also ich bin wirklich beeindruckt über die Qualität und das Handwerk, was in diesen Scam reingeflossen ist. Das ist weit weg von "Script-Kiddie" Level.
Auf dieser etwas komischen Website "diebewertung.de" habe ich dann letztlich die meisten Infos zu dem Ding gefunden.
Jeden Tag bekommen wir immer noch dutzende Mails von Verbrauchern die auch eine Zahlungsaufforderung vom angeblichen Inkassounternehmen Klütz aus Hockenheim bekommen haben. Wie uns das nternehmen in einer Mail mitgeteilt hat, handelt es sich bei diesen Forderungen um FAKE Forderungen die bitte nicht bezahlt werden sollen. Das Unternehmen hat nach eigenen Angaben bereits eine Strafanzeige erstattet und auch der BaFin eine Mitteilung gemacht, damit die Bafin an alle Zahlungsdienstleister herangehen kann.Die BaFin hat natürlich hier ganz andere Möglichkeiten den Geldfluss zu verfolgen.
(…) diese Zahlungsaufforderungen stammen nicht von uns. Wir sind nicht Betreiber der Internetseiten kluetz-inkasso.com oder kluetz-forderungen.com, auf die verwiesen wird. Hier missbraucht jemand unsere Firmenbezeichnung und verwendet eine ähnlich lautende Domain. Wir haben bereits die Polizei eingeschaltet. Die Zahlungsaufforderungen sind als gegenstandslos zu betrachten. (…) Inkassodienst Klütz GmbH
Fazit: Gerade jetzt in Zeiten von KI wird es wohl einerseits immer leichter, wirklich täuschend echte Websites zu erstellen, aber auch die Vorgänge drumherum und Texte fehlerfrei automatisiert zu produzieren. Andererseits wird es immer schwieriger, diese Fakes zu erkennen (so wie vor 20 Jahren). Letztlich hat uns unser Bauchgefühl, das Wissen, dass wir da definitiv nichts bestellt haben und das technische Know-How im Hinblick auf Domains und Registrierungen davor bewahrt, in die Falle zu tappen. Wobei, ich/wir hätten ja nicht bezahlt, sondern uns mit (der echten) Inkasso-Firma in Verbindung gesetzt und spätestens da wäre der Scam aufgeflogen. Trotzdem: Ich finde es echt krass, wie gut das Ding gemacht ist.
Und nein, das ist leider kein April-Scherz.
Webrocker
