Phishing-Welle: Bauherren in den USA zahlen auf gefälschte Rechnungen

Die Masche nutzt öffentlich zugängliche Informationen aus Bauantragsverfahren, um täuschend echte E-Mails zu erstellen. Die Nachrichten enthalten oft den Namen des Antragstellers, die Projektadresse und weitere Details, die aus Sitzungsunterlagen und Online-Portalen stammen. Diese Personalisierung macht den Betrug besonders gefährlich, da die Opfer gerade in diesem Prozess mit offizieller Post rechnen. Kommunen von Kalifornien bis Florida haben in den letzten Wochen dringend zur Vorsicht gemahnt.

Phishing-Angriffe mit gefälschten Amtsrechnungen, die zur Zahlung per Banküberweisung drängen, führen regelmäßig zu hohen finanziellen Schäden. Das kostenlose Anti-Phishing-Paket erklärt in vier klaren Schritten, wie Sie gefälschte E-Mails erkennen, Zahlungsaufforderungen unabhängig verifizieren und interne Prozesse so aufbauen, dass Überweisungen an Betrüger verhindert werden. Enthalten sind Checklisten für Absenderprüfungen und Vorlagen für Mitarbeiterschulungen – besonders relevant für Bauherren und kommunale Stellen. Anti-Phishing-Paket jetzt kostenlos herunterladen

So funktioniert der Betrug

Die Täter durchforsten systematisch die Webseiten von Städten und Landkreisen nach öffentlichen Tagesordnungen der Bau- und Planungsausschüsse. Diese Dokumente liefern alle nötigen Daten: Namen, Grundstücksdetails und Projektbeschreibungen.

Mit diesen Informationen erstellen sie gefälschte E-Mails und Rechnungen, die offizielle Logos und korrekte Behördensprache imitieren. Ein wiederkehrendes Merkmal ist die Verwendung von E-Mail-Adressen, die auf „@usa.com“ enden – für Unbedarfte wirken sie amtlich. So warnte etwa Front Royal in Virginia am 23. Januar 2026 konkret vor der Adresse [email protected].

Die Nachrichten behaupteten oft, das Projekt sei genehmigt, es müssten aber noch Gebühren für „Antragsprüfung“ oder „Bauaufsicht“ gezahlt werden. Die Zahlung soll per Banküberweisung erfolgen – eine Methode, die seriöse Ämter praktisch nie nutzen, da sie kaum rückgängig zu machen ist. Oft wird künstlicher Zeitdruck erzeugt, um die Opfer zu schnellem Handeln zu drängen.

Aktuelle Warnungen von Küste zu Küste

Das landesweite Ausmaß des Betrugs zeigt sich in einer Serie behördlicher Warnungen im Januar 2026. Nach der Meldung aus Virginia zogen andere Gemeinden nach.

So warnte der Bezirk Alachua in Florida am 21. Januar die Öffentlichkeit. Antragsteller für Projekte, die eine öffentliche Anhörung erfordern, hatten gefälschte E-Mails erhalten. Die Absender gaben sich als Vertreter der Bauaufsicht aus und baten unter dem Namen „Hurricane City Planning Commission“ um Überweisungen. Das Amt stellte klar, dass es keine zusätzlichen Gebühren für die Anhörung erhebt.

Bereits um den 12. Januar meldete die Stadt Lafayette in Kalifornien einen identischen Vorfall. Auch hier kamen E-Mails von „@usa.com“-Adressen, die auf echte Grundstücke und Projekte Bezug nahmen und eine gefälschte PDF-Rechnung enthielten. Dieses Muster zeigt eine koordinierte und anhaltende Kampagne.

Teil eines besorgniserregenden Trends

Der Angriff auf das Bauantragswesen ist Teil eines größeren Trends: der zunehmenden Impersonation von Behörden. So warnte das New Yorker Finanzministerium (NYDFS) am 22. Januar 2026 vor einer Phishing-Kampagne, bei der sich Betrüger als DFS-Mitarbeiter ausgaben.

Experten sehen darin eine Ausnutzung des natürlichen Vertrauens in behördliche Kommunikation. Durch die Verwendung korrekter Details aus öffentlichen Quellen umgehen die Täter die Skepsis, die ein generischer Phishing-Versuch auslösen würde. Der Erfolg hängt davon ab, dass das Opfer die Nachricht für einen legitimen Teil des Verwaltungsvorgangs hält. Das macht insbesondere Bauunternehmen und private Bauherren, die sich im Genehmigungsdschungel bewegen, zu leichten Zielen.

Schutzmaßnahmen und Ausblick

Die Behörden reagieren mit klaren Handlungsempfehlungen. Die wichtigste Regel: Immer unabhängig verifizieren. Wer eine E-Mail mit Zahlungsaufforderung für Gebühren erhält, sollte nicht antworten, keine Links anklicken und keine Anhänge öffnen.

Stattdessen muss das zuständige Amt über eine Telefonnummer von der offiziellen Website kontaktiert werden, um die Echtheit der Forderung zu prüfen. Behörden betonen einstimmig, dass sie niemals Zahlungen per Überweisung, Kryptowährung oder Geschenkkarten verlangen. Antragsteller sollten die Absenderadresse genau prüfen: Echte Behördenpost kommt von einer verifizierten „.gov“-Domain oder einer lokalen Entsprechung, nicht von generischen Adressen wie „@usa.com“.

Einige Kommunen prüfen nun, ob sie in online gestellten Dokumenten die E-Mail-Adressen der Antragsteller schwärzen können, um Datenernte zu erschweren. Da diese Angriffe weitergehen und sich weiterentwickeln werden, sind sowohl Wachsamkeit in der Bevölkerung als auch proaktive Sicherheitsmaßnahmen der Ämter entscheidend, um Bürger und Unternehmen vor finanziellen Verlusten zu schützen.

PS: Viele Gemeinden, Bauunternehmen und private Antragsteller können mit einfachen, sofort umsetzbaren Maßnahmen verhindern, dass Kriminelle öffentliche Dokumente ausnutzen. Das kostenlose Anti-Phishing-Paket bietet praxisnahe Schutzmaßnahmen, Musterprozeduren zur Verifikation von Zahlungsaufforderungen und Vorlagen für interne Prüfungen und Schulungen. Schützen Sie sich gegen gefälschte Rechnungen und unnötige Überweisungen – schnell umsetzbare Empfehlungen inklusive. Jetzt Anti-Phishing-Guide anfordern