Betrug, Bedrohungsinformationen

Wir haben diese Kampagne mit gefälschten Rechnungen aufgedeckt, als die Betrüger noch dabei waren, sie aufzubauen

von Stefan Dasic | 3. Juni 2026
Social Engineering
Als bevorzugte Quelle bei Google hinzufügen

Derzeit wird eine neue Serie gefälschter Zahlungsrechnungen in Umlauf gebracht, und wir haben die Kampagne aufgedeckt, noch während sie vorbereitet wurde. Die E-Mails geben vor, von PayPal, Amazon, Geek Squad und anderen zu stammen, und alle verfolgen dasselbe Ziel: Sie dazu zu bringen, aus Angst eine Telefonnummer anzurufen, unter der ein gefälschter „Support-Mitarbeiter“ auf Sie wartet.

Das Besondere an dieser Welle ist, dass einige der Vorlagen, die wir sichergestellt haben, noch leere Felder enthielten, in denen eigentlich die Telefonnummer und der Preis hätten stehen sollen, während andere bereits vollständig ausgefüllt waren und im Umlauf waren. Wir haben die Kampagne mitten in der Einführungsphase erwischt.

Was ist der Trick?

Wenn Sie eine E-Mail erhalten, die wie eine Quittung aussieht – „Ihr Abonnement wurde für 349 $ verlängert“, „Sie haben eine Zahlung in Höhe von 598,96 $ getätigt“ – und darin aufgefordert werden, eine Nummer anzurufen, um die Abbuchung zu stornieren oder anzufechten, hören Sie sofort auf.

Es fallen keine Kosten an. Der E-Mail-Betreiber möchte Sie dazu bringen, mit einem Betrüger zu telefonieren, der dann versuchen wird, Sie dazu zu überreden, ihm Fernzugriff auf Ihren Computer, Ihre Kreditkartendaten oder eine „Rückerstattung“ zu gewähren, für die Sie ihm aus irgendeinem Grund Geld überweisen müssen.

Diese spezielle Masche wird als „Phantomrechnung“- oder „Rückerstattungsbetrug“ bezeichnet, und der Trick ist psychologischer, nicht technischer Natur. Deshalb können diese E-Mails oft an Spamfiltern vorbeischlüpfen: Meistens gibt es keinen bösartigen Anhang oder Link, den Sicherheitssysteme analysieren könnten. Der Betrug steckt in der Telefonnummer, die Sie anrufen sollen.

Wenn Sie den Kauf nicht getätigt haben, brauchen Sie die in der E-Mail angegebene Nummer nicht anzurufen, um ihn zu stornieren. Seriöse Unternehmen üben keinen Druck auf Kunden aus, unerwartete Abbuchungen über unaufgefordert angegebene Telefonnummern zu klären.

Das Ziel ist einfach: Es soll genug Besorgnis geweckt werden, damit Sie anrufen. Sie sehen eine hohe Abbuchung, die Sie nicht zuordnen können – sagen wir 499 Dollar – und Ihr erster Impuls ist, das zu stoppen. Auf der Rechnung steht praktischerweise eine Telefonnummer, die Sie anrufen sollen, „falls das nicht von Ihnen stammt“. Also rufen Sie an, und schon sprechen Sie mit dem Betrüger.

Von da an führt das Gespräch in der Regel zu einem von mehreren möglichen Ergebnissen. Möglicherweise bitten sie dich, eine Software zu installieren, damit sie die Abbuchung „korrigieren“ können, und gewähren dir so Zugriff auf deinen Computer. Oder sie fragen nach deinen Kreditkarten- oder Bankdaten, um „die Rückerstattung zu bearbeiten“. Oder sie erstatten dir „versehentlich“ einen zu hohen Betrag zurück und bitten dich, die Differenz zurückzuüberweisen, meist per Geschenkkarte oder Banküberweisung.

Die Rechnung ist nur der Köder, der Anruf hingegen die Falle.

Diese E-Mails wirken überzeugend, und einige landen bereits in den Posteingängen. Die gute Nachricht ist: Allein der Erhalt einer solchen E-Mail stellt noch kein Risiko dar. Der Betrug funktioniert nur, wenn es den Betrügern gelingt, Sie dazu zu bringen, die angegebene Nummer anzurufen. Wenn Sie die Nachricht als Betrugsversuch erkennen und löschen, ist der Angriff damit abgewehrt.

Falls Sie die Nummer angerufen und die Anweisungen eines Betrügers befolgt haben, führen Sie einen Virenscan durch und überprüfen Sie Ihre Bankkonten. Ändern Sie Ihre wichtigen Passwörter, aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) und stellen Sie sicher, dass Ihre Sicherheitssoftware auf dem neuesten Stand ist.

Wie wir es im halbfertigen Zustand entdeckt haben

Die meisten Ermittlungen wegen Betrugs beginnen erst, nachdem der Schaden bereits entstanden ist. In diesem Fall war es anders. Wir stießen auf eine Reihe fast identischer Rechnungsvorlagen, die offensichtlich zu einem und demselben Set gehörten, wobei einige davon unvollständig waren.

Während in einer ausgereiften Betrugs-E-Mail eine Telefonnummer angegeben wäre, enthielten einige dieser E-Mails stattdessen den wörtlichen Text #TFN# stattdessen, was lediglich ein Platzhalter ist. („TFN“ ist die Abkürzung der Betrüger für „toll-free number“ – die Rückrufnummer, an die sie ihre Opfer weiterleiten.) Andere ließen den Preis unverändert bei #PRICE#, das Datum als #DATE#und der Empfänger als #EMAIL#. Das sind Platzhalter – die Lücken, die ein Tool für den Massenversand automatisch ausfüllt, bevor eine Kampagne versendet wird.

Die Tatsache, dass diese Platzhalter noch vorhanden waren, zeigte uns, dass die Kampagne noch in der Aufbauphase war. Einige Vorlagen waren noch unvollständig, während andere bereits fertiggestellt waren und gültige Rückrufnummern enthielten. Wir hatten die Kampagne mitten in der Einführungsphase erwischt, also zwischen der Erstellung und dem vollständigen Start.

Warum diese Rechnungen glaubwürdig wirken

Die Betrüger nutzen bekannte Marken wie PayPal, Amazon und Geek Squad. Es handelt sich um Unternehmen, von denen man normalerweise Quittungen und Verlängerungsmitteilungen erwartet, was das Misstrauen mindert.

Auch die Abbuchungen sind sorgfältig ausgewählt. Beträge im Bereich von einigen hundert Dollar sind hoch genug, um Besorgnis zu wecken, wirken aber dennoch plausibel, etwa als Verlängerung eines Abonnements oder als Online-Kauf.

In vielen Nachrichten wird ein Gefühl der Dringlichkeit vermittelt, indem die Empfänger aufgefordert werden, schnell anzurufen, um die Belastung anzufechten oder zu stornieren. Dieser Druck soll die Menschen davon abhalten, die Transaktion selbstständig zu überprüfen.

Manche Rechnungen kombinieren sogar bekannte Marken, indem sie beispielsweise behaupten, eine Zahlung sei über PayPal Amazon gesendet worden. Durch die Nennung mehrerer bekannter Unternehmen wirkt die Nachricht glaubwürdiger.

So erkennt man eine gefälschte Rechnung

Die gute Nachricht ist, dass diese Betrugsmaschen gemeinsame Warnzeichen aufweisen. Sobald man weiß, worauf man achten muss, lassen sie sich viel leichter erkennen. Achten Sie auf folgende Anzeichen:

  • Eine Abbuchung, an die Sie sich nicht erinnern können. Wenn Sie die Abbuchung nicht erkennen, überprüfen Sie sie bitte unabhängig über Ihr Konto oder Ihre Bank. Wenn dort kein Eintrag zu finden ist, handelt es sich bei der Rechnung wahrscheinlich um einen Lockvogel, der Sie dazu bringen soll, anzurufen.
  • Eine tickende Uhr. „Rufen Sie innerhalb von 12 Stunden an“, „Kündigen Sie vor der Verlängerung“ oder „Handeln Sie sofort“ – solche Formulierungen suggerieren eine falsche Dringlichkeit, die Sie davon abhalten soll, nachzudenken. Echte Abrechnungsprobleme können warten, während Sie die Sache prüfen.
  • Marken, denen Sie vertrauen, werden als Deckmantel genutzt. Je bekannter das Logo, desto weniger aufmerksam lesen die Menschen. Betrüger machen sich Vertrauen zunutze, das sie sich nicht verdient haben.
  • Seltsame Details, die irgendwie nicht ganz passen. Eine PayPal , die angeblich von Amazon stammt, eine seltsame Adresse, die niemandem gehört, oder eine leicht seltsame Formulierung. Vertraue den kleinen Dingen, die sich falsch anfühlen.
  • Der Druck, am Telefon zu bleiben. Wenn Sie anrufen, würde ein seriöses Unternehmen Sie niemals daran hindern, aufzulegen, um etwas zu überprüfen – ein Betrüger hingegen schon.

Sollte auch nur eines dieser Merkmale vorliegen, betrachten Sie die gesamte Nachricht als verdächtig.

Behalten Sie diese eine Regel im Hinterkopf, mit der Sie diesen ganzen Betrug durchschauen können: Ein seriöses Unternehmen wird Sie niemals dazu drängen, sofort anzurufen, um eine Zahlung rückgängig zu machen, die Sie gar nicht getätigt haben. Wenn Sie sich nicht sicher sind, ob eine Abbuchung echt ist, schließen Sie die E-Mail und überprüfen Sie Ihr Konto auf dem üblichen Weg: indem Sie die Website des Unternehmens selbst in Ihren Browser eingeben oder die Nummer auf der Rückseite Ihrer Bankkarte anrufen.

Profi-Tipp: Malwarebytes Guard kann dabei helfen, solche Betrugsversuche zu erkennen und Ihnen zeigen, wie Sie weiter vorgehen sollten, während Browser Guard den Zugriff auf betrügerische Websites blockiert.

Was tun, wenn so eine E-Mail in deinem Posteingang landet?

Sollten Sie eine verdächtige Rechnung wie die hier beschriebenen erhalten, treffen Sie bitte einige einfache Vorsichtsmaßnahmen:

  • Rufen Sie diese Nummer nicht an. Das ist der Kern des Betrugs. Bei legitimen Rückerstattungen oder Stornierungen müssen Sie keine Nummer anrufen, die auf einer unaufgefordert zugesandten Quittung steht.
  • Antworte nicht und klicke auf nichts. Betrachte die Nachricht als verdächtig, auch wenn sie echt aussieht.
  • Überprüfen Sie die Abbuchungen selbst. Wenn Sie befürchten, dass eine Abbuchung echt sein könnte, melden Sie sich direkt bei PayPal, Ihrer Bank oder dem Händler an, indem Sie die Adresse selbst eingeben und Ihren Transaktionsverlauf überprüfen.
  • Melde es. Leiten Sie verdächtige Phishing-E-Mails an die Missbrauchsadresse des betroffenen Unternehmens weiter und melden Sie sie in den USA der FTC unter reportfraud.ftc.gov. Durch Meldungen können Betrugsmaschen aufgedeckt werden.
  • Falls Sie bereits angerufen haben, beenden Sie das Gespräch. Installieren Sie keine Software, die Ihnen empfohlen wird. Falls Sie Fernzugriff gewährt oder Zahlungsdaten weitergegeben haben, wenden Sie sich umgehend an Ihre Bank und führen Sie einen vertrauenswürdigen Sicherheitsscan auf Ihrem Gerät durch.
  • Seien Sie vorsichtig bei Dringlichkeitsaufrufen. Formulierungen wie „innerhalb von 12 Stunden“ oder „jetzt stornieren“ sollen Sie dazu drängen, zu handeln, bevor Sie nachdenken. Nehmen Sie sich die Zeit, die Behauptung unabhängig zu überprüfen.

Betrüger greifen zunehmend auf Methoden zurück, die von Software nur schwer erkannt werden können. Eine Telefonnummer in einer E-Mail lässt sich von Sicherheitsprogrammen nur schwer überprüfen, und der eigentliche Betrug findet über ein Telefongespräch statt und nicht über einen bösartigen Link oder Anhang.

Deshalb ist es so wichtig, dass wir diese Kampagne bereits während der Einführungsphase entdeckt haben. Anstatt erst im Nachhinein den Schaden zu sehen, konnten wir einen Einblick in die Vorbereitungen gewinnen: unfertige Vorlagen, lückenhafte Angaben und das Betrugs-Kit, bevor es vollständig zum Einsatz kam.

Die beste Vorsichtsmaßnahme ist ganz einfach: Wenn Sie in einer unerwarteten Rechnung aufgefordert werden, sofort eine bestimmte Nummer anzurufen, halten Sie inne und überprüfen Sie die Abrechnung zunächst selbstständig.

Indikatoren für Kompromittierung

Domänen

invoicepdfin[.]xyz

invoicepdfus[.]xyz

invoicepdfusa[.]xyz

invoicerep[.]xyz

invoicestatement[.]xyz

invoicestm[.]xyz

Rückrufnummern

804-392-2793

801-640-8589

Stimmt da etwas nicht? Überprüfen Sie es, bevor Sie klicken.  

Mit Malwarebytes Guardkönnen Sie verdächtige Links, Texte und Screenshots sofort überprüfen.  

Erhältlich mitMalwarebytes Premium für alle Ihre Geräte sowie in derMalwarebytes für iOS Android.  

Kostenlos testen → 

Über den Autor

Stefan Dasic

Stefan Dasic

Stefan ist ein leidenschaftlicher Anhänger von Antiviren-Lösungen und hat sich schon früh mit Malware-Tests und der Qualitätssicherung von AV-Produkten beschäftigt. Als Teil des Malwarebytes widmet sich Stefan dem Schutz der Kunden und der Gewährleistung ihrer Sicherheit.

NEUESTE ARTIKEL

Betrug
Phishing in großem Stil

Infostealer entwickeln sich zur bevorzugten Phishing-Nutzlast

Juni 3, 2026

Cyberkriminelle ziehen Infostealer herkömmlichen Phishing-Techniken vor, da sie weniger Reibungsverluste verursachen, gut skalierbar sind und weit verbreitet sind.

Mobil
Mobil

Gefälschte Virenwarnungen tauchen in Handyspielen auf

Juni 2, 2026

„Dein Gerät ist infiziert!“ Gefälschte Konto- und Virenwarnungen verwandeln manche In-Game-Anzeigen in Malware-Fallen.

Privacy

Gefälschte BlueWallet-App stiehlt Passwörter, Konten und Kryptowährungen von Macs

Juni 1, 2026

Ein gefälschter BlueWallet-Download verleitet Mac dazu, Malware auszuführen, die Passwörter, Krypto-Wallets und Daten aus der Zwischenablage stiehlt.

Als bevorzugte Quelle bei Google hinzufügen

Verwandte Artikel

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug