Naar inhoud
← Terug naar de tool

Phishing en valse facturen bij XRechnung en ZUGFeRD

Valse facturen per e-mail zijn geen nieuw probleem. Nieuw is dat facturen tegenwoordig steeds vaker als gestructureerde e-facturen worden verstuurd, bijvoorbeeld als XRechnung of ZUGFeRD. Volgens de huidige stand van het onderzoek is er nog geen breed gedocumenteerde officiële casusreeks die specifiek gaat over phishing met XRechnung of ZUGFeRD. Dat maakt het onderwerp niet onschuldig: factuurphishing is al jaren een gevestigd aanvalspatroon. Gestructureerde e-facturen helpen bij de controle, omdat hun gegevens beter met de eigen administratie te vergelijken zijn. Maar een formaat op zich bewijst nooit dat een factuur echt is.

Zo ga je om met een verdachte e-factuur

Als je twijfelt, helpt een vaste werkwijze. Zo houd je plausibiliteit, bestandstype en inhoudelijke controle goed van elkaar gescheiden:

  1. 1. Controleer eerst de plausibiliteit. Kijk naar de volledige context: klopt de leverancier, klopt de transactie, klopt het moment? Controleer het afzenderadres zorgvuldig, vooral het domein en niet alleen de weergegeven naam. Belangrijk: ook een plausibel afzenderadres is geen bewijs van echtheid, want e-mailafzenders kunnen worden vervalst.
  2. 2. Werd de factuur verwacht? Zo niet, open of download de bijlage dan niet. In twijfelgevallen kan de controle hier al stoppen: neem rechtstreeks contact op met de leverancier via een bekend, onafhankelijk kanaal en niet door op dezelfde e-mail te antwoorden.
  3. 3. Als de e-mail plausibel lijkt: controleer de bestandsextensie. Een .pdf kun je over het algemeen veilig openen. Een .xml kun je downloaden, maar niet met een dubbelklik openen, omdat ruwe XML nauwelijks leesbaar is. Upload het bestand in plaats daarvan naar digital-rechnung.de of een andere vertrouwde viewer. Hoe je kunt beoordelen of een externe dienst zorgvuldig met je gegevens omgaat, lees je hier: Facturen veilig openen met andere diensten. Wees voorzichtig met .exe, .bat, .zip, .rar en dubbele extensies zoals Factuur.pdf.exe.
  4. 4. Vergelijk de XML-inhoud met je bekende gegevens. Controleer of het IBAN bij deze afzender al bekend was, of factuurnummer, bestelreferentie en bedrag bij je administratie passen en of de factuurontvanger klopt. Maar een bekend IBAN alleen is niet genoeg. In uitzonderlijke gevallen kan een aanvaller een echt, bekend IBAN gebruiken, bijvoorbeeld dat van een bank waarvan je regelmatig facturen ontvangt, en alleen de referentie zo manipuleren dat de betaling verkeerd terechtkomt. Klopt het IBAN, maar lijkt de referentie onbekend of niet passend: vraag na.
  5. 5. Vraag bij twijfel opnieuw na via een veilig kanaal. Als iets onduidelijk blijft, neem dan rechtstreeks contact op met de leverancier, opnieuw niet door op het verdachte bericht te antwoorden, maar via een bekende en onafhankelijke contactroute.

Breed gedocumenteerde gevallen specifiek met XRechnung of ZUGFeRD zijn tot nu toe nog maar beperkt openbaar uitgewerkt. Wie de controle van zulke facturen nu al goed scheidt, bereidt zich voor op een probleem dat met de verdere verspreiding van e-facturen waarschijnlijk zichtbaarder wordt.

Wat is het echte probleem bij e-facturen?

Het probleem is niet XRechnung of ZUGFeRD op zichzelf. Het probleem is de combinatie van e-mail, sociale druk en gemanipuleerde betaalgegevens. Een factuur kan er formeel correct uitzien en toch uitkomen op een verkeerd IBAN, een onlogische bestelreferentie of een verzonnen context.

Het BSI wijst erop dat zogenaamd per e-mail verstuurde facturen zowel als bijlage als via een link kunnen opduiken. SECUSO raadt in de materialen over frauduleuze berichten en binnen de NoPhish-context aan om afzender, bijlagen, links en de volledige inhoud van het bericht op plausibiliteit te controleren en je niet door urgentie onder druk te laten zetten. Aanvullend beschrijft het BSI typische misverstanden over e-mailveiligheid.

XML-velden: vergelijking, geen bewijs

Een veelgemaakte denkfout is: als de XML-velden plausibel lijken, zal de factuur wel echt zijn. Dat klopt niet. Wie de afzender van een e-mail vervalst en de factuur opstelt, controleert ook alle XML-velden. IBAN, factuurnummer, leverancier, buyer reference of bestelreferentie kunnen vrij worden ingevuld.

De waarde van XML ligt daarom ergens anders: je kunt gestructureerde gegevens vergelijken met je eigen administratie. Komen IBAN, bedrag, factuurnummer, contactpersoon of bekende bestelnummer overeen met je transacties? Precies daarvoor is XML sterk. Maar de velden zijn alleen een hulpmiddel voor vergelijking, geen bewijs van echtheid.

Bij ZUGFeRD moeten bovendien de zichtbare PDF en de ingebedde XML inhoudelijk overeenkomen. Als ze verschillende informatie bevatten, is dat een duidelijk waarschuwingssignaal. Voor publieke opdrachtgevers is de Leitweg-ID een belangrijk controleveld, maar ook die is alleen een plausibiliteitskenmerk.

Hoe digital-rechnung.de helpt

digital-rechnung.de maakt de inhoud van een XRechnung- of ZUGFeRD-bestand direct in de browser zichtbaar. Het bevestigt geen e-mailafzender, maar maakt factuurgegevens snel leesbaar: bijvoorbeeld IBAN, factuurafzender, ontvanger, factuurnummer, bedragen, vervaldatum en referenties.

Juist bij verdachte gevallen helpt dat, omdat je gestructureerde gegevens snel kunt vergelijken met bekende stamgegevens, bestellingen of eerdere facturen.

Als er toch iets is gebeurd

Als je al iets is overkomen: zulke aanvallen zijn vaak heel professioneel opgezet. Ze lijken geloofwaardig, komen op het juiste moment en treffen ook mensen die normaal gesproken erg voorzichtig zijn. Werkelijk iedereen kan erin trappen, ongeacht ervaring of technische achtergrond. Dat is geen persoonlijk falen.

Wat dan telt, is snel handelen en geen schaamte. Spreek je IT-beheerder of IT-dienstverlener direct aan en zeg gewoon wat er is gebeurd. Deze mensen zijn er juist voor dit soort situaties. Als geld naar een verkeerd IBAN is overgemaakt, bel dan onmiddellijk je bank, want het tijdvenster voor een mogelijke terugboeking is kort. Wie uit schaamte te lang zwijgt, maakt de situatie vaak alleen maar moeilijker en duurder.

Veelgestelde vragen

Zijn er al gedocumenteerde phishinggevallen specifiek met XRechnung of ZUGFeRD?

Volgens de stand van het onderzoek op 12 maart 2026 is er in officiële en standaardgerelateerde bronnen geen breed gedocumenteerde casusreeks te vinden die specifiek gaat over phishing met XRechnung of ZUGFeRD. Dat is een beoordeling op basis van het onderzoek, geen bewijs dat zulke gevallen niet kunnen bestaan. Algemene factuurphishing per e-mail is daarentegen wel duidelijk gedocumenteerd.

Kan ik een valse factuur aan de XML herkennen?

Niet betrouwbaar. Wie je een valse factuur stuurt, heeft ook controle over alle XML-velden en kan die met plausibele waarden vullen. XML is daarom vooral nuttig om te vergelijken met je eigen gegevens, niet als bewijs van echtheid.

Is een XML-bestand veilig om te openen?

Vergeleken met uitvoerbare bestanden is een .xml-bestand meestal minder kritisch. Toch moet je het niet met een dubbelklik openen, maar controleren in een vertrouwde viewer. Als de factuur helemaal niet werd verwacht, is downloaden al niet de eerste stap.

Welk belangrijk controleveld geldt voor publieke opdrachtgevers?

De buyer reference, oftewel de Leitweg-ID. Officiële informatie van de Duitse overheid noemt die als centraal veld voor de toewijzing van de factuur. Ontbreekt die of past die niet, dan is de factuur niet plausibel. Maar ook een passende Leitweg-ID bewijst de echtheid niet.

Wat moet ik extra controleren bij ZUGFeRD?

Of de zichtbare PDF en de ingebedde XML inhoudelijk overeenkomen. ZUGFeRD is een hybride formaat. Wijken beide onderdelen van elkaar af, bijvoorbeeld bij IBAN, bedragen of factuurnummers, dan mag de factuur niet worden vrijgegeven voordat de afwijking is opgehelderd.

Is alleen naar het IBAN in de XML kijken voldoende?

Een bekend IBAN in de XML vergelijken met je stamgegevens is een goede eerste stap en verhoogt de plausibiliteit duidelijk. Maar het is geen garantie. In uitzonderlijke gevallen kan een aanvaller een echt, bekend IBAN gebruiken en alleen de referentie of omschrijving zo manipuleren dat de betaling verkeerd wordt toegewezen. Controleer daarom IBAN, bedrag en referentie samen. Past de referentie of omschrijving niet bij je bekende transactie, vraag dan liever nog een keer na.

Is een PDF altijd onschuldig?

Vergeleken met uitvoerbare bestanden kun je een PDF over het algemeen veilig openen. Maar dat beantwoordt alleen de vraag naar het bestandstype, niet naar de echtheid van de factuur. Ook een PDF kan verkeerde bankgegevens of een gemanipuleerde context bevatten.

E-factuur controleren → digital-rechnung.de

Controleer nu XRechnung of ZUGFeRD →