Phishing-Welle nutzt E-Rechnungs-Wirrwarr zum Jahresstart

Kriminelle starten 2026 mit einer massiven Angriffswelle auf Smartphones. Sie zielen mit gefälschten Rechnungs-SMS und E-Mails auf die Verunsicherung rund um die E-Rechnungspflicht ab. Verbraucherschützer und das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnen vor der aktuellen Betrugskampagne.

Die perfide Masche: „Ihre E-Rechnung ist unvollständig“

Die Betrüger schlagen pünktlich zum Jahreswechsel zu. Ihre Nachrichten behaupten, eine Rechnung könne aufgrund „neuer gesetzlicher Formatanforderungen für 2026“ nicht verarbeitet werden. Empfänger werden aufgefordert, einen Link zu anklicken, um die korrekte E-Rechnung herunterzuladen.

Der Vorwand wirkt plausibel, denn seit Januar 2025 müssen Unternehmen elektronische Rechnungen empfangen können. Wer den Link antippt, landet jedoch auf täuschend echten Phishing-Seiten, die sensible Bankdaten abgreifen sollen.

Passend zum Thema Smishing und gefälschte E‑Rechnungen: Ein kostenloses Anti‑Phishing‑Paket erklärt in verständlichen Schritten, wie Sie gefälschte SMS und Phishing‑Seiten erkennen, schadhafte PDF‑Viewer und App‑Downloads vermeiden und Mitarbeiter sowie Firmendaten schützen. Enthalten sind Praxistipps für die Prüfung von Links, Checklisten für Freiberufler und Notfallmaßnahmen nach einem Angriff. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

Warum das Smartphone im Fokus steht

Sicherheitsexperten beobachten eine klare Verschiebung hin zu mobilen Angriffen, auch „Smishing“ genannt. Auf dem kleinen Bildschirm sind gefälschte URLs schwerer zu erkennen. Zudem nutzen Kriminelle die „Always-On“-Mentalität aus: Eine SMS suggeriert Dringlichkeit und verleitet zu impulsivem Handeln.

Einige Links starten sogar den Download von Schadsoftware, die sich als PDF-Viewer tarnt. Ist diese einmal installiert, können Angreifer Passwörter und Zwei-Faktor-Authentifizierungscodes abfangen.

Gezielte Ausnutzung der Rechtslage

Die anhaltende Verwirrung um die E-Rechnungspflicht spielt den Betrügern in die Hände. Während der Empfang seit 2025 Pflicht ist, gelten für den Versand Übergangsfristen bis 2027. Diese komplexe Lage ist ideal für Social Engineering.

Die Nachrichten zielen gezielt auf Freiberufler und Kleinunternehmer ab. Sie behaupten, ab sofort gelten verschärfte Regeln und alte Rechnungen seien ungültig. Um angebliche Mahngebühren zu vermeiden, sollen die Opfer sofort handeln.

Hybrides Bedrohungsszenario für 2026

Analysten sehen einen gefährlichen Trend: Die Grenzen zwischen privaten und geschäftlichen Angriffszielen verschwimmen. Da viele ihr Smartphone beruflich nutzen, wird es zum Einfallstor in Firmennetzwerke.

Die Qualität der Phishing-Nachrichten ist heute höher. Angreifer nutzen KI-gestützte Tools für fehlerfreie, kontextbezogene Texte. Sie beziehen sich korrekt auf reale Ereignisse, wie auslaufende App-Versionen.

Der Rat der Experten ist klar:
* Keine seriöse Bank oder Behörde fordert per SMS zur Dateneingabe auf einem Link auf.
* Bei unerwarteten Rechnungen immer den offiziellen Weg über die Website des Anbieters wählen.
* Nie Apps aus unbekannten Quellen installieren.

Experten gehen davon aus, dass diese Welle erst der Anfang ist. Für das erste Quartal 2026 wird eine Zunahme von Angriffen erwartet, die speziell auf die Steuererklärungssaison abzielen. Bis technische Lösungen wie stärkere SMS-Filter greifen, bleibt die menschliche Aufmerksamkeit der wichtigste Schutz.

PS: Besonders Freiberufler und Kleinunternehmer, die E‑Rechnungen per Smartphone prüfen, sollten vorbereitet sein. Das kostenlose Anti‑Phishing‑Paket liefert eine 4‑Schritte‑Anleitung zur Abwehr von SMS‑Tricks, Vorlagen für Mitarbeiterwarnungen und konkrete Empfehlungen, welche Apps und Einstellungen Angriffe blockieren. Sichern Sie sich den Guide und schützen Sie Ihre Kontodaten und Zwei‑Faktor‑Codes. Jetzt kostenlosen Anti‑Phishing‑Guide anfordern