Przejdź do treści
← Powrót do narzędzia

Phishing i fałszywe faktury w XRechnung i ZUGFeRD

Fałszywe faktury wysyłane e-mailem nie są nowym problemem. Nowe jest to, że dziś faktury są coraz częściej wysyłane jako ustrukturyzowane e-faktury, na przykład jako XRechnung albo ZUGFeRD. Według aktualnego stanu badań nie ma wprawdzie szeroko udokumentowanej oficjalnej serii przypadków dotyczących konkretnie phishingu z XRechnung lub ZUGFeRD. To jednak nie oznacza, że temat jest niegroźny: phishing fakturowy jest od lat utrwalonym wzorcem ataku. Ustrukturyzowane e-faktury pomagają w weryfikacji, bo ich dane można łatwiej porównać z własną dokumentacją. Ale sam format nigdy nie dowodzi, że faktura jest autentyczna.

Jak postępować z podejrzaną e-fakturą

Jeśli masz wątpliwości, pomaga stała procedura. Dzięki temu wyraźnie oddzielasz ocenę wiarygodności, typ pliku i kontrolę treści:

  1. 1. Najpierw sprawdź wiarygodność. Spójrz na cały kontekst: czy dostawca pasuje, czy zdarzenie pasuje, czy termin pasuje? Dokładnie sprawdź adres e-mail nadawcy, zwłaszcza domenę, a nie tylko nazwę wyświetlaną. Ważne: nawet wiarygodny adres nadawcy nie jest dowodem autentyczności, bo nadawcę wiadomości e-mail można sfałszować.
  2. 2. Czy faktura była oczekiwana? Jeśli nie, nie otwieraj ani nie pobieraj załącznika. W razie wątpliwości weryfikacja może zakończyć się już tutaj: skontaktuj się bezpośrednio z dostawcą przez znany, niezależny kanał, a nie przez odpowiedź na ten sam e-mail.
  3. 3. Jeśli e-mail wydaje się wiarygodny: sprawdź rozszerzenie pliku. Plik .pdf jest zasadniczo bezpieczny do otwarcia. Plik .xml możesz pobrać, ale nie otwieraj go dwuklikiem, bo surowy XML jest słabo czytelny. Zamiast tego wczytaj plik do digital-rechnung.de albo do innej zaufanej przeglądarki. Jak ocenić, czy zewnętrzna usługa ostrożnie obchodzi się z danymi, opisano tutaj: Bezpieczne otwieranie faktur w innych usługach. Uważaj na pliki .exe, .bat, .zip, .rar oraz podwójne rozszerzenia, takie jak Faktura.pdf.exe.
  4. 4. Porównaj treść XML z własnymi znanymi danymi. Sprawdź, czy ten IBAN był już wcześniej znany dla tego nadawcy, czy numer faktury, odniesienie do zamówienia i kwota pasują do twojej dokumentacji oraz czy zgadza się odbiorca faktury. Ale sam znany IBAN nie wystarcza. W skrajnym przypadku atakujący mógłby użyć prawdziwego, znanego IBAN-u, na przykład banku, od którego regularnie otrzymujesz faktury, i zmanipulować tylko referencję tak, aby płatność została przypisana na jego korzyść. Jeśli IBAN się zgadza, ale referencja wygląda obco lub nie pasuje: dopytaj.
  5. 5. W razie wątpliwości potwierdź ponownie przez bezpieczny kanał. Jeśli coś pozostaje niejasne, skontaktuj się bezpośrednio z dostawcą, ponownie nie odpowiadając na podejrzaną wiadomość, lecz korzystając ze znanej i niezależnej ścieżki kontaktu.

Szeroko udokumentowane przypadki dotyczące konkretnie XRechnung lub ZUGFeRD są jak dotąd rzadko publicznie opracowane. Kto już teraz wyraźnie rozdziela etapy weryfikacji takich faktur, przygotowuje się na problem, który wraz z dalszym upowszechnianiem e-faktur prawdopodobnie będzie coraz bardziej widoczny.

Na czym naprawdę polega problem z e-fakturami?

Problemem nie jest samo XRechnung ani ZUGFeRD. Problemem jest połączenie e-maila, presji społecznej i zmanipulowanych danych płatniczych. Faktura może wyglądać formalnie poprawnie, a mimo to prowadzić do błędnego IBAN-u, niepasującego odniesienia do zamówienia albo wymyślonego kontekstu.

BSI zwraca uwagę, że rzekome faktury w e-mailach mogą pojawiać się zarówno jako załączniki, jak i linki. SECUSO zaleca w materiałach o fałszywych wiadomościach oraz w kontekście NoPhish, aby sprawdzać wiarygodność nadawcy, załączników, linków i całej treści wiadomości oraz nie pozwalać, by presja pilności wymuszała pochopne działania. Dodatkowo BSI opisuje typowe błędne przekonania o bezpieczeństwie e-maili.

Pola XML: narzędzie porównawcze, nie dowód

Częsty błąd myślowy brzmi: jeśli pola XML wyglądają wiarygodnie, to faktura musi być prawdziwa. To nieprawda. Kto fałszuje nadawcę e-maila i tworzy fakturę, kontroluje też wszystkie pola XML. IBAN, numer faktury, dostawca, buyer reference czy odniesienie do zamówienia mogą zostać ustawione dowolnie.

Wartość XML leży więc gdzie indziej: możesz porównać ustrukturyzowane dane z własną dokumentacją. Czy IBAN, kwota, numer faktury, osoba kontaktowa albo znane numery zamówień pasują do twoich procesów? Właśnie w tym XML jest mocny. Ale pola są tylko narzędziem porównawczym, a nie dowodem autentyczności.

W przypadku ZUGFeRD widoczny PDF i osadzony XML powinny być też zgodne co do treści. Jeśli zawierają różne informacje, to wyraźny sygnał ostrzegawczy. Dla publicznych zamawiających Leitweg-ID jest ważnym polem kontrolnym, ale również tylko jako cecha wiarygodności.

Jak pomaga digital-rechnung.de

digital-rechnung.de pokazuje treść pliku XRechnung albo ZUGFeRD bezpośrednio w przeglądarce. Nie potwierdza autentyczności nadawcy e-maila, ale szybko czyni dane faktury czytelnymi: na przykład IBAN, wystawcę, odbiorcę, numer faktury, kwoty, termin płatności i referencje.

Jest to szczególnie pomocne w podejrzanych przypadkach, ponieważ można szybko porównać ustrukturyzowane dane ze znanymi danymi podstawowymi, zamówieniami albo wcześniejszymi fakturami.

Jeśli coś już się wydarzyło

Jeśli coś już ci się przydarzyło: takie ataki są często przygotowane bardzo profesjonalnie. Wyglądają wiarygodnie, przychodzą we właściwym momencie i dotykają także osoby, które na co dzień są bardzo ostrożne. Każdy może się na to nabrać, niezależnie od doświadczenia czy wiedzy technicznej. To nie jest osobista porażka.

Liczy się wtedy szybkie działanie i brak wstydu. Skontaktuj się bezpośrednio ze swoim administratorem IT albo dostawcą usług IT i po prostu powiedz, co się stało. Te osoby są właśnie od takich sytuacji. Jeśli pieniądze zostały przelane na błędny IBAN, natychmiast zadzwoń do banku, bo okno czasowe na ewentualne odzyskanie środków jest krótkie. Kto zbyt długo milczy ze wstydu, często tylko pogarsza sytuację i zwiększa koszty.

Częste pytania

Czy istnieją już udokumentowane przypadki phishingu konkretnie z XRechnung lub ZUGFeRD?

Zgodnie ze stanem badań na 12 marca 2026 r. w oficjalnych źródłach i źródłach związanych ze standardami nie ma szeroko udokumentowanej serii przypadków dotyczących konkretnie phishingu z XRechnung lub ZUGFeRD. To ocena oparta na przeprowadzonej analizie, a nie dowód, że takie przypadki nie mogą istnieć. Ogólny phishing fakturowy przez e-mail jest natomiast dobrze udokumentowany.

Czy fałszywą fakturę można rozpoznać po XML?

Nie w sposób pewny. Osoba wysyłająca fałszywą fakturę kontroluje też wszystkie pola XML i może wypełnić je wiarygodnymi wartościami. Dlatego XML jest przede wszystkim przydatny do porównania z własnymi danymi, a nie jako dowód autentyczności.

Czy plik XML jest bezpieczny do otwarcia?

W porównaniu z plikami wykonywalnymi plik .xml jest zwykle mniej krytyczny. Mimo to nie należy go otwierać dwuklikiem, lecz sprawdzić w zaufanej przeglądarce. Jeśli faktura w ogóle nie była oczekiwana, samo pobranie nie jest pierwszym krokiem.

Jakie ważne pole kontrolne dotyczy podmiotów publicznych?

Buyer reference, czyli Leitweg-ID. Oficjalne informacje federalne wskazują je jako centralne pole do przypisania faktury. Jeśli go brakuje albo nie pasuje, faktura jest niewiarygodna. Ale także poprawna Leitweg-ID nie dowodzi autentyczności.

Co dodatkowo sprawdzać w ZUGFeRD?

Czy widoczny PDF i osadzony XML są zgodne co do treści. ZUGFeRD jest formatem hybrydowym. Jeśli obie części się różnią, na przykład w zakresie IBAN-u, kwot albo numerów faktur, faktura nie powinna zostać zatwierdzona, dopóki rozbieżność nie zostanie wyjaśniona.

Czy wystarczy spojrzeć na IBAN w XML?

Porównanie znanego IBAN-u z XML z własnymi danymi podstawowymi to dobry pierwszy krok i wyraźnie zwiększa wiarygodność. Nie jest to jednak gwarancja. W skrajnym przypadku atakujący mógłby użyć prawdziwego, znanego IBAN-u i zmanipulować jedynie referencję albo tytuł przelewu tak, by płatność została błędnie przypisana. Dlatego sprawdzaj razem IBAN, kwotę i referencję. Jeśli referencja albo tytuł przelewu nie pasują do znanego zdarzenia, lepiej dopytać jeszcze raz.

Czy PDF jest zawsze niegroźny?

W porównaniu z plikami wykonywalnymi PDF jest zasadniczo bezpieczny do otwarcia. Ale to odpowiada tylko na pytanie o typ pliku, a nie o autentyczność faktury. PDF również może zawierać błędne dane bankowe albo zmanipulowany kontekst.

Sprawdź e-fakturę → digital-rechnung.de

Sprawdź teraz XRechnung lub ZUGFeRD →