Falsche IBAN in Abrechnung

Zitat von Saarlaender

Ich kann mir weiterhin einen Betrug durch einen Hackerangriff auf das E-Mail Konto des Versenders der Rechnung vorstellen. Aber das ist natürlich mit den vorliegenden Informationen spekulativ. Was dagegen spricht ist die vermutliche Höhe des Betrages. Das passiert eigentlich eher bei höheren Beträgen im B2B Zahlungsverkehr. Jedoch kann ich mir sonst nicht erklären, warum die WEG Verwaltung eine falsche IBAN angeben sollte die noch dazu tatsächlich existiert. Wenn es sich um einen Zahlendreher handelt, wäre dies höchstwahrscheinlich an der Prüfziffer gescheitert und die Überweisung wäre nicht ausgeführt worden. Falls ich mit dem Betrug durch einen Hackernangriff richtig liegen sollte ist die Rechtslage jedenfalls kompliziert. Siehe hier ein Beispiel

Ich sehe das auch so. Hier spricht einiges für einen Hackerangriff. Wenn ich mir das verlinkte Urteil ansehe, so sieht es nicht gut aus für den Zahlungspflichtigen. Wie allerdings soll der erkennen, dass die Rechnung manipuliert wurde?

Die hier als empfangendes Geldinstitut genannte Deutsche Bank wird wohl einer Privatperson keine Auskunft über den Kontoinhaber geben. Ich würde daher Strafanzeige gegen Unbekannt stellen. Allerdings werden solche Konten in der Regel als Strohmann-Konten betrieben, die Täter sitzen im Ausland. Das eingegangene Geld wird per SEPA-Echtzeitüberweisung z.B. nach Spanien oder Litauen transferiert, wo sich dann die Spur verliert.

Ich hoffe, der fragliche Betrag war nicht allzu hoch.

Wir warten mal auf die Fakten…

Zitat von sam51

Ich sehe das auch so. Hier spricht einiges für einen Hackerangriff. Wenn ich mir das verlinkte Urteil ansehe, so sieht es nicht gut aus für den Zahlungspflichtigen. Wie allerdings soll der erkennen, dass die Rechnung manipuliert wurde?

Die hier als empfangendes Geldinstitut genannte Deutsche Bank wird wohl einer Privatperson keine Auskunft über den Kontoinhaber geben. Ich würde daher Strafanzeige gegen Unbekannt stellen. Allerdings werden solche Konten in der Regel als Strohmann-Konten betrieben, die Täter sitzen im Ausland. Das eingegangene Geld wird per SEPA-Echtzeitüberweisung z.B. nach Spanien oder Litauen transferiert, wo sich dann die Spur verliert.

Ich hoffe, der fragliche Betrag war nicht allzu hoch.

Ich finde, das wirft mindestens 2 Fragen auf:

- Im Urteil hat der Käufer 2 Mails mit Rechnungen bekommen. Das hätte ihn evtl dazu bringen können nachzufragen, welche denn die richtige Rechnung ist. Bei Planschkuh ging es um eine Rechnung. D.h. ein möglicher Hacker hätte die Originalmail vor dem Versand abfangen müssen und durch eine manipulierte ersetzen müssen. Geht das überhaupt?

- Welche Rolle spielt der Name des Empfänger auf der Überweisung? Das Konto des Hackers lief wohl nicht unter „Autohaus XY“. Warum gibt es dieses Feld überhaupt, warum als Pflichtfeld, wenn der Inhalt keine Rolle spielt?

Zitat von andiii_98

- Welche Rolle spielt der Name des Empfänger auf der Überweisung? Das Konto des Hackers lief wohl nicht unter „Autohaus XY“. Warum gibt es dieses Feld überhaupt, warum als Pflichtfeld, wenn der Inhalt keine Rolle spielt?

Ich meine, das wurde früher mehr oder weniger geprüft, wird es aktuell gar nicht und soll mit SEPA instant wieder eine Rolle spielen.

Prüfziffer bei der IBAN schön und gut, aber ich begrüße es sehr, wenn der name wieder eine Rolle spielt.

Zitat von andiii_98

- Im Urteil hat der Käufer 2 Mails mit Rechnungen bekommen. Das hätte ihn evtl dazu bringen können nachzufragen, welche denn die richtige Rechnung ist. Bei Planschkuh ging es um eine Rechnung. D.h. ein möglicher Hacker hätte die Originalmail vor dem Versand abfangen müssen und durch eine manipulierte ersetzen müssen. Geht das überhaupt?

Das geht recht einfach. Wahrscheinlich ist, dass die Mail auf dem Rechner des Wohnungsverwalters abgefangen wurde. Dazu braucht man im Mail-Client des Versenders nur den Ziel-MTA (Mail Transfer Agent) zu ändern. Mit etwas Schadsoftware eine simple Aufgabe. Dort steht dann der Mailserver des Hackers, über den dann alle Mails des Opfers laufen. Ankommende Mails werden automatisch auf bestimmte Eigenschaften geprüft, z.B. ob ein pdf-File im Anhang ist. Man kann sogar automatisch den Inhalt des pdf auf eine evtl. vorhandene Bankverbindung scannen und diese automatisch ersetzen. Danach werden die Mails an die entsprechenden Empfängeradressen weitergeleitet.

Zitat

Welche Rolle spielt der Name des Empfänger auf der Überweisung? Das Konto des Hackers lief wohl nicht unter „Autohaus XY“. Warum gibt es dieses Feld überhaupt, warum als Pflichtfeld, wenn der Inhalt keine Rolle spielt?

Würde der Empfänger-Eintrag auf einer Überweisung gegen den bei der Bank hinterlegten Konto-Inhaber geprüft, dürfte das in einer Zurückweisung von wahrscheinlich mehr als der Hälfte aller Aufträge führen. Beispiel: der hinterlegte Empfänger ist "Karl-Friedrich Mayer Vertriebsgesellschaft GmbH & Co. KG". Diesen Empfänger dürften wohl kaum Überweisungen erreichen. Datenqualität ist eines der Hauptprobleme bei der Digitalisierung. Und jetzt bitte nicht mit KI kommen, die würde es noch schlimmer machen.

Zitat von sam51

Das geht recht einfach. Wahrscheinlich ist, dass die Mail auf dem Rechner des Wohnungsverwalters abgefangen wurde.

Möglich, aber dann hätten sicher sehr viel mehr Empfänger gefälschte Abrechnungen bekommen.

Zitat von sam51

Würde der Empfänger-Eintrag auf einer Überweisung gegen den bei der Bank hinterlegten Konto-Inhaber geprüft, dürfte das in einer Zurückweisung von wahrscheinlich mehr als der Hälfte aller Aufträge führen. Beispiel: der hinterlegte Empfänger ist "Karl-Friedrich Mayer Vertriebsgesellschaft GmbH & Co. KG". Diesen Empfänger dürften wohl kaum Überweisungen erreichen. Datenqualität ist eines der Hauptprobleme bei der Digitalisierung. Und jetzt bitte nicht mit KI kommen, die würde es noch schlimmer machen.

Das kann man schon z.B. über die Hamming-Distanz ganz gut regeln.

Dann kann der Betrüger mit Zugriff auf das Konto von "Katrin Meier" vielleicht noch Beträge für eine vermeintliche "Katharina Mayer" empfangen, aber nicht mehr als "Detlef Weber".

Oder es gibt ein System wie bei der DHL Briefankündigung, wo verschiedene Schreibweisen gültig sind: "Detlef Weber", "Hans-Detlef Weber", 'Hans Weber", "D.Weber".

Oder es findet eine Datenabfrage statt: "Das Konto mit dieser IBAN ist nicht Katrin Meier zugeordnet sondern K. Meyer, soll trotzdem überwiesen werden?" Das ist allerdings etwas aufwändiger umzusetzen.

Zitat von sam51

Würde der Empfänger-Eintrag auf einer Überweisung gegen den bei der Bank hinterlegten Konto-Inhaber geprüft, dürfte das in einer Zurückweisung von wahrscheinlich mehr als der Hälfte aller Aufträge führen. Beispiel: der hinterlegte Empfänger ist "Karl-Friedrich Mayer Vertriebsgesellschaft GmbH & Co. KG". Diesen Empfänger dürften wohl kaum Überweisungen erreichen. Datenqualität ist eines der Hauptprobleme bei der Digitalisierung. Und jetzt bitte nicht mit KI kommen, die würde es noch schlimmer machen.

Ich stimme dir dazu und ich hatte mir das auch kurz überlegt, als ich mein Posting oben geschrieben habe.

Allerdings schafft die Post es auch, erstaunlich treffsicher zu sein, obwohl an meinem Briefkasten nur der Nachname steht, die Schreiben aber auf alle erdenkliche Weise adressiert sind.

Zitat von itschytoo

Möglich, aber dann hätten sicher sehr viel mehr Empfänger gefälschte Abrechnungen bekommen.

Das wissen wir nicht. Die Manipulation der Mails ist sicherlich einfacher auf dem eigenen MTA durchzuführen als auf dem Rechner des Opfers.

Zitat von itschytoo

Das kann man schon z.B. über die Hamming-Distanz ganz gut regeln.

Der Hamming-Abstand ist dafür nicht besonders gut geeignet, ein typischer Informatiker-Ansatz, jedoch leider am Business vorbei. Ich habe vor vielen Jahren im Bankenumfeld, allerdings in einem anderen Zusammenhang, eine Software entwickelt, die ein vergleichbares Matching von Namen durchführte. So etwas ist alles andere als trivial. "Ganz gut" ist so wie "fast vorbei", nämlich daneben.

Lt. Bundesbank führen deutsche Banken täglich ca. 4 Mio. Überweisungen durch. Hätte man einen erstklassigen Algorithmus, der zu 99% richtig liegt, würden pro Tag ca. 40.000 Überweisungen geblockt werden. So etwas würde niemals live gehen.

Namensvergleich

Zitat von andiii_98

Allerdings schafft die Post es auch, erstaunlich treffsicher zu sein, obwohl an meinem Briefkasten nur der Nachname steht, die Schreiben aber auf alle erdenkliche Weise adressiert sind.

Wenn Ort und Straße stimmen, landet die Sendung schon mal beim richtigen Zusteller. Und der hat eine wichtige Eigenschaft: er ist ein Mensch. Das menschliche Gehirn kann eben erstaunliche Dinge leisten.

Zitat von sam51

Wenn Ort und Straße stimmen, landet die Sendung schon mal beim richtigen Zusteller. Und der hat eine wichtige Eigenschaft: er ist ein Mensch. Das menschliche Gehirn kann eben erstaunliche Dinge leisten.

Die elektronische Sendungsankündigung schafft es auch

Das bringt mich zur Frage, warum Überweisungen nur an Bankarbeitstagen und tagsüber verbucht werden, wenn überhaupt kein Mensch benötigt wird. Dann kann man das 24/7 durchlaufen lassen.

Zitat von andiii_98

Das bringt mich zur Frage, warum Überweisungen nur an Bankarbeitstagen und tagsüber verbucht werden, wenn überhaupt kein Mensch benötigt wird. Dann kann man das 24/7 durchlaufen lassen.

Das Thema hat sich eh bald erledigt, zum 2. Halbjahr 2025 wird SEPA Instant quasi Standard. 24/7 verfügbar, Eingang beim Empfänger in max. 10 Sekunden.

Zitat von Planschkuh

Ich habe nun eine Rückmeldung von dem WEG Verwalter erhalten.

Leider blieb meine Frage, wieso auf seiner Abrechnung eine falsche IBAN stand unbeantwortet. Seine Erwartungshaltung ist nun, dass ich mich darum kümmere den Betrag von dem falschen Konto zurückzufordern um ihn dann an die neue von ihm mitgeteilte IBAN zu überweisen.

Na der macht es sich aber sehr einfach Oder er weiß, dass der Fehler auf seiner Seite liegt und stellt sich bewusst dumm?

Aber diese Abrechnung haben doch sicher auch andere Eigentümer erhalten. Hast du zu denen Kontakt?

Zitat von Planschkuh

Ich habe nun eine Rückmeldung von dem WEG Verwalter erhalten.

Leider blieb meine Frage, wieso auf seiner Abrechnung eine falsche IBAN stand unbeantwortet. Seine Erwartungshaltung ist nun, dass ich mich darum kümmere den Betrag von dem falschen Konto zurückzufordern um ihn dann an die neue von ihm mitgeteilte IBAN zu überweisen.

Der Verwalter macht es sich da einfach.

1) Ist es, wie oben von einem Mitforisten vermutet, die Abrechnung für das Kalenderjahr 2023? Diese hätte bis ultimo 2024 bei Dir vorliegen müssen. Bitte prüfen.

2) Der Verwalter scheint ja nicht zu bestreiten, dass er eine Mai mit der "falschen" Kontonummer geschickt hat (also hoffentlich KEIN Hackerangriff. Schon mal gut).

3) Um welchen Betrag / welche Höhe geht es überhaupt?

Zitat von Planschkuh

Ich habe nun eine Rückmeldung von dem WEG Verwalter erhalten.

Leider blieb meine Frage, wieso auf seiner Abrechnung eine falsche IBAN stand unbeantwortet. Seine Erwartungshaltung ist nun, dass ich mich darum kümmere den Betrag von dem falschen Konto zurückzufordern um ihn dann an die neue von ihm mitgeteilte IBAN zu überweisen.

Hm. ich würde bei der Ansicht bleiben, dass die Überweisung auf die in der Abrechnung genannten IBAN erfolgt ist und du damit alles getan hast, was nötig war.
Solange er nicht eindeutig einräumt, dass er die falsche IBAN selbst angegeben hat, würde ich gar nichts machen.

Wende dich an den Verwaltungsbeirat eurer WEG, der kann das eher klären und weiß sicherlich auch, wenn es Andere in der WEG betroffen sind.

Ich bin selbst im Beirat einer WEG und habe schon vieles erlebt, so etwas aber nicht.
Wir, die im Beirat sind, prüfen nicht nur den laufenden Haushalt und Wirtschaftsplan sondern auch die Buchhaltung des Verwalters.

Die Wohngeldabrechnung prüfen wir ebenfalls aller Miteigentümer.
Das macht zwar Arbeit, es unterstützt den Verwalter.

Wenn zu Fehlern kam, waren es systematische Fehler und keine, die einzelne Wohneinheiten betrafen. Falsche Kontonummern dürfen nicht vorkommen.

Mein Rat, wende dich an den Beirat.

Zitat von andiii_98

Hm. ich würde bei der Ansicht bleiben, dass die Überweisung auf die in der Abrechnung genannten IBAN erfolgt ist und du damit alles getan hast, was nötig war.
Solange er nicht eindeutig einräumt, dass er die falsche IBAN selbst angegeben hat, würde ich gar nichts machen.

Sehe ich genauso. Wenn die Verwaltung (augenscheinlich) ein Saftladen ist, dann soll sie ihr Chaos selber bereinigen.

Da die Überweisung auf das falsche Konto nicht rückabgewickelt wurde, besteht zumindest theoretisch die Möglichkeit, dass eine Forderung gleich 2x geleistet werden soll. Wie kam denn der Verwalter auf die ursprünglich angegebene Bankverbindung und was gedenkt er zur Schadenskorrektur zu unternehmen?

Das würde ich ihn fragen.

Noch ein Aspekt:
Die auf der Abrechnung angegebene IBAN war offensichtlich eine echte IBAN (also kein Zahlendreher und sie existiert tatsächlich). Dass der Verwalter sich die frei ausgedacht hat oder sie durch Zufall entstanden ist, ist mehr als unwahrscheinlich. Er hat die wohl von irgendwoher kopiert, er kannte sie vorher.

Warum spricht er dann nicht seinen (ehemaligen) Geschäftspartner an und bittet um Korrektur?