← Alle Beispiele Vollständiges Beispiel — Forensischer Bericht + Strafanzeige

CEO-Fraud / BEC

Fiktiver Fall zu Demonstrationszwecken. Die Daten sind erfunden, zeigen aber das reale Detailniveau, das wir liefern. BEC-Betrug mit kompromittierter E-Mail und einer umgeleiteten Überweisung von 185.000 EUR auf ein ausländisches Konto.

1
Forensischer Bericht
9 Seiten • Finanzanalyse + E-Mail-Forensik + OSINT
2
Strafanzeige
11 Seiten • Bereit zur Einreichung bei der Staatsanwaltschaft
Dokument 1 — Forensischer Bericht
🔎
Finanzieller Untersuchungsbericht
SpurKI_Forensischer_Bericht.pdf • 9 Seiten • Klassifizierung TLP:RED
Risiko 87/100
TRC-2026-5923 Methode: SEPA-Überweisung Betrag: €185.000 6 Hops erkannt 1 Exchange KYC

BEC-Betrug — Falscher Lieferant “TechSolutions GmbH” mit kompromittierter E-Mail

Business Email Compromise mit Kompromittierung des PEC-Postfachs des Lieferanten, geänderter Rechnung, umgeleiteter Überweisung von 185.000 EUR auf ein litauisches Konto, teilweise Umwandlung in Krypto.

⚙ Angewandte Untersuchungsmethodik
1. E-Mail-Forensik: Analyse von E-Mail-Headern, SPF/DKIM/DMARC, Server-Logs • 2. Financial Tracking: SWIFT/SEPA-Verfolgung der umgeleiteten Überweisung • 3. On-Chain-Analyse: Verfolgung des in Krypto umgewandelten Teils • 4. OSINT: Identifizierung des Begünstigtenkontos und der Briefkastenfirma • 5. Pattern Matching: Verbindung mit früheren BEC-Betrügereien derselben Gruppe

Detaillierte Chronologie der Ereignisse

15. Februar 2026
Das Opferunternehmen (Industrie Meccaniche S.p.A.) erhält eine Rechnung über 185.000 EUR vom deutschen Lieferanten TechSolutions GmbH für eine Lieferung von Komponenten. Die Rechnung kommt von der üblichen E-Mail-Adresse fatturazione@techsolutions-gmbh.de.
15. Februar 2026 — 10:30 Uhr
Die E-Mail enthält einen Hinweis: “Bitte beachten Sie die Änderung der Bankverbindung. Die neue IBAN für Zahlungen lautet LT60 3250 0XXX XXXX XXXX (Revolut Business Lithuania)”. Der Hinweis ist professionell in die PDF-Rechnung eingefügt.
15.-17. Februar 2026
Die Verwaltungsabteilung prüft die Rechnung: Betrag stimmt mit der Bestellung überein, Format identisch mit früheren Rechnungen, Absender korrekt. Es erfolgt keine telefonische Überprüfung der IBAN-Änderung.
18. Februar 2026 — 09:15 Uhr
SEPA-Überweisung: 185.000 EUR von Banca Intesa (IT60X...) an IBAN LT60 3250 0XXX XXXX XXXX (Revolut Business, lautend auf “Nordic Trade Solutions OÜ”, Estland). CRO: 2026021800XXXXX
18. Februar 2026 — 11:30 Uhr
Die Gelder gehen auf dem litauischen Konto ein. Innerhalb von 2 Stunden: 120.000 EUR werden auf ein Konto in Bulgarien (DSK Bank) überwiesen, 65.000 EUR werden über eine verknüpfte Karte auf Binance in USDT umgewandelt.
22. Februar 2026
Der echte Lieferant TechSolutions GmbH kontaktiert das Opferunternehmen, um die Zahlung der Rechnung (nie erhalten) anzumahnen. Das Unternehmen entdeckt den Betrug.
22. Februar 2026 — 15:00 Uhr
E-Mail-Analyse: Der Header zeigt, dass das Postfach fatturazione@techsolutions-gmbh.de kompromittiert wurde (unbefugter Zugriff von IP 185.xxx.xxx.xx, Nigeria). Der Betrüger hat die legitime Rechnung abgefangen und nur die IBAN geändert.
23. Februar 2026 — 09:00 Uhr
Das Unternehmen startet die Meldung auf SpurKI und liefert: CRO der Überweisung, Original-E-Mail mit vollständigen Headern, geänderte Rechnung, Originalrechnung des Lieferanten.
23. Februar 2026 — 09:02 Uhr
SpurKI startet die Analyse. Zeit: 95 Sekunden. Ergebnis: Überweisung bis zu 2 Endzielen (Bulgarien + Binance) verfolgt, 65.000 EUR in Krypto über 6 Hops verfolgt.

Erfasste und zertifizierte digitale Beweise

E-Mail + Header
Vollständige SPF/DKIM-Analyse
Kompromittierung bestätigt
📄
Geänderte Rechnung
PDF mit geänderter IBAN
Vergleich mit Original
🏦
SEPA-Überweisung
CRO + Bankbestätigung
185.000 EUR
Krypto-Transaktionen
Umwandlung auf Binance
65.000 EUR in USDT
💻
E-Mail-Server-Logs
IP unbefugter Zugriff
Geolokalisierung Nigeria

Finanzflussanalyse: Vollständiger Weg der Gelder

Vollständige Rekonstruktion des Flusses — SEPA-Überweisung + Krypto-Umwandlung auf Tron

▋ VERFOLGUNG DES GELDflusses — PHASE 1: UMGELEITETE ÜBERWEISUNG
[01] Opfer (Banca Intesa) LT60 3250 0XXX (Revolut Business Lithuania) : 185.000 EUR // 18/02 09:15

▋ PHASE 2: BANKAUFTEILUNG
[02] LT60 3250 0XXX BG80 STSA 9300 XXXX (DSK Bank Bulgaria) : 120.000 EUR // 18/02 16:00
[03] LT60 3250 0XXX Binance (verknüpfte Karte) : 65.000 EUR → USDT // 18/02 15:30

▋ PHASE 3: KRYPTO-VERFOLGUNG (65.000 EUR)
[04] Binance account TRx7...pN4m (Wallet Tron) : 65.000 USDT (TRC-20) // 18/02 16:15
[05] TRx7...pN4m TQb2...kL8s (Vermittler) : 65.000 USDT // 18/02 17:00
[06] TQb2...kL8s OKX (TRC-20 deposit) [CASH-OUT • KYC] : 65.000 USDT
✓ 185.000 EUR insgesamt verfolgt: 120.000 EUR auf Konto in Bulgarien + 65.000 EUR in Krypto bis OKX
✓ E-Mail kompromittiert von nigerianischer IP (185.xxx.xxx.xx)
✓ Estnische Briefkastenfirma “Nordic Trade Solutions OÜ” (30 Tage zuvor gegründet)
✓ Muster: Klassischer BEC mit Man-in-the-Middle auf Lieferanten-E-Mail
Bankgelder
120K EUR
Konto Bulgarien (DSK Bank)
Krypto-Gelder
65K EUR
Verfolgt bis OKX
Analysierte Transaktionen
6
SEPA + Tron
Risiko-Score
87/100
Hohes Risiko
Reaktionszeit
4 Tage
Vom Betrug bis zur Entdeckung

OSINT-Intelligence — Identifizierte Entitäten (6)

EntitätTypUntersuchungsdetailRisiko
fatturazione@techsolutions-gmbh.deKompromittierte E-MailUnbefugter Zugriff von IP 185.xxx.xxx.xx (Lagos, Nigeria) am 14.02. Passwort vermutlich durch Phishing erlangt. Der Angreifer überwachte das Postfach 24 Stunden lang, bevor er handelte.KRITISCH
Nordic Trade Solutions OÜBriefkastenfirmaRegistriert in Estland am 18.01.2026 (30 Tage zuvor). Geschäftsführer: litauischer Strohmann. Keine echte Geschäftstätigkeit. Revolut Business-Konto am 20.01. eröffnet.KRITISCH
LT60 3250 0XXXRevolut Lithuania-KontoEröffnet am 20.01.2026. Erhielt 3 Überweisungen von 3 verschiedenen Unternehmen (insgesamt: 520.000 EUR) in 30 Tagen. Alle mit identischem BEC-Muster.KRITISCH
BG80 STSA 9300 XXXXDSK Bank Bulgaria-KontoLautend auf eine bulgarische natürliche Person (wahrscheinlicher Money Mule). Erhielt 120.000 EUR am 18.02.HOCH
OKX (TRC-20 deposit)Exchange (Krypto-Cash-out)65.000 USDT eingezahlt. KYC-verifizierter Account. Kooperiert: law.enforcement@okx.comAKTIONIERBAR
IP 185.xxx.xxx.xxAngriffsursprungLagos, Nigeria. ISP: MTN Nigeria. Dieselbe IP ist mit 12 BEC-Betrügereien in der FBI IC3-Datenbank verbunden.HOCH
Compliance-Kontakte für Beschlagnahme/Einfrieren
OKX: law.enforcement@okx.com
• 65.000 USDT eingezahlt am 18.02.
• Reaktionszeit: 5-7 Tage

Revolut: fincrime@revolut.com
• Konto LT60 3250 0XXX
• Kann vorsorglich einfrieren

DSK Bank Bulgaria: compliance@dskbank.bg
• Konto BG80 STSA 9300 XXXX
• Erfordert internationales Rechtshilfeersuchen
Dringender Aktionsplan
⚠ INNERHALB VON 24 STD:
1. Anzeige beim Landeskriminalamt + Antrag auf SEPA-Recall
2. Einfrieren der Gelder bei OKX + Revolut
3. Benachrichtigung an TechSolutions GmbH über die Kompromittierung

INNERHALB VON 48 STD:
4. Antrag auf Bank-Recall (SEPA Recall)
5. Meldung an Revolut wegen verdächtigem Konto

INNERHALB VON 7 TAGEN:
6. Europäische Ermittlungsanordnung (EEA) nach Estland (Briefkastenfirma)
7. EEA nach Bulgarien (Money Mule)
8. Meldung an FBI IC3 (nigerianische IP)
9. Meldung an die FIU (Financial Intelligence Unit)
📈 Grafische Zusammenfassung des Flusses (im PDF enthalten)
Der PDF-Bericht enthält einen interaktiven hochauflösenden Graphen, der den gesamten Weg der Gelder visualisiert, mit farbigen Knoten nach Typ, Kanten mit Betrag und Zeitstempel, Hervorhebung der Cash-out-Punkte mit KYC-Flag, QR-Code zur unabhängigen Überprüfung jeder TXID.
Generiert am: 23. Feb 2026 09:02 UTC Verfolgungszuverlässigkeit: 100% Klassifizierung: TLP:AMBER Analyst: SpurKI Engine v3.1
Dokument 2 — Strafanzeige
Strafanzeige
SpurKI_Strafanzeige.pdf • 11 Seiten • Bereit zur Einreichung bei der Staatsanwaltschaft
Kopfzeile

AN DEN SEHR GEEHRTEN HERRN STAATSANWALT
beim zuständigen Gericht Bologna

STRAFANZEIGE
mit Antrag auf dringende präventive Beschlagnahme und SEPA-Recall

Abschnitt A — Personalien der/die Anzeigeerstatter/in

Das Unternehmen Industrie Meccaniche S.p.A., mit Sitz in Via Emilia 120, 40126 Bologna (BO), USt-IdNr. 02XXXXXXXXX, in Person des gesetzlichen Vertreters Dr. Paolo Ferri,

LEGT DAR UND ERSTATTET ANZEIGE

wie folgt, beantragt die Bestrafung der Verantwortlichen für die unten genannten Straftaten und formuliert die unten aufgeführten vorsorglichen und ermittlungstechnischen Anträge.

Abschnitt B — Sachverhaltsdarstellung

B.1 — Kompromittierung der E-Mail des Lieferanten

An einem unbestimmten Datum, das jedoch um den 14. Februar 2026 angesiedelt werden kann, kompromittierten Unbekannte das E-Mail-Postfach fatturazione@techsolutions-gmbh.de des deutschen Lieferanten TechSolutions GmbH und erlangten vollständigen Zugriff auf die Geschäftskorrespondenz. Der Zugriff erfolgte von der IP 185.xxx.xxx.xx (Lagos, Nigeria).

B.2 — Versand der Rechnung mit geänderter IBAN

Am 15. Februar 2026 wurde von dem kompromittierten Postfach an der/die Anzeigeerstatter/in eine Rechnung über 185.000,00 EUR für eine tatsächlich laufende Lieferung gesendet, mit der einzigen Änderung der Bankverbindung: Die ursprüngliche IBAN (DE...) wurde durch LT60 3250 0XXX XXXX XXXX ersetzt, lautend auf “Nordic Trade Solutions OÜ” (estnische Briefkastenfirma, die 30 Tage zuvor gegründet wurde).

B.3 — Überweisung und Entdeckung

Am 18. Februar 2026 veranlasste der/die Anzeigeerstatter/in eine SEPA-Überweisung von 185.000,00 EUR an die angegebene IBAN. Der Betrug wurde am 22. Februar entdeckt, als der echte Lieferant die nie erhaltene Zahlung anmahnte.

Abschnitt C — Ergebnisse der technischen Untersuchung

Die forensische Analyse (Bericht TRC-2026-5923) hat Folgendes ergeben:

  • Die E-Mail des Lieferanten wurde am 14.02. von einer nigerianischen IP kompromittiert;
  • Die 185.000 EUR wurden aufgeteilt: 120.000 EUR nach Bulgarien, 65.000 EUR in Krypto umgewandelt;
  • Der Krypto-Teil (65.000 USDT) wurde bis OKX verfolgt;
  • Die estnische Briefkastenfirma erhielt 520.000 EUR von 3 Unternehmen mit identischem Muster;
  • Die IP des Angreifers ist mit 12 BEC-Betrügereien in der FBI IC3-Datenbank verbunden.
Abschnitt D — Rechtliche Einordnung

Die oben dargelegten Tatsachen erfüllen die folgenden Straftatbestände:

  • § 263 StGBBetrug;
  • § 263a StGBComputerbetrug (Kompromittierung der E-Mail);
  • § 202a StGBAusspähen von Daten;
  • § 261 StGBGeldwäsche (Briefkastenfirma + Krypto);
  • § 269 StGBFälschung beweiserheblicher Daten (geänderte Rechnung).
Abschnitt E — Anträge

Aufgrund des Vorstehenden BEANTRAGT der/die Anzeigeerstatter/in

BEANTRAGT

  • Präventive Beschlagnahme der Gelder bei OKX (65.000 USDT) und Revolut (falls noch verfügbar);
  • Antrag auf SEPA-Recall über die Auftraggeberbank;
  • Europäische Ermittlungsanordnung (EEA) nach Estland für Daten der Gesellschaft Nordic Trade Solutions;
  • EEA nach Bulgarien zur Identifizierung des Money Mules;
  • Anfrage an Revolut nach vollständigen Kontodaten;
  • Übermittlung an FBI IC3 für internationale Verbindung;
  • Meldung an die FIU (Financial Intelligence Unit).
Abschnitt F — Anlagen
  • Anlage 1: Forensischer Ermittlungsbericht SpurKI (TRC-2026-5923)
  • Anlage 2: E-Mail mit vollständigen Headern (SPF/DKIM/DMARC)
  • Anlage 3: Originalrechnung vs. geänderte Rechnung (Vergleich)
  • Anlage 4: Bestätigung der SEPA-Überweisung (CRO)
  • Anlage 5: Mitteilung der TechSolutions GmbH (Bestätigung der Kompromittierung)
  • Anlage 6: Handelsregisterauszug Nordic Trade Solutions OÜ (estnisches Register)
  • Anlage 7: Gesellschaftsdokumente des Anzeigeerstatters
Schlusserklärung und Unterschrift

Der/Die Anzeigeerstatter/in erklärt, sich der strafrechtlichen Verantwortung bewusst zu sein, die sich aus falschen Erklärungen gemäß § 164 StGB ergibt, und bestätigt die Richtigkeit der oben gemachten Angaben.

Der/Die Anzeigeerstatter/in erklärt ferner, im Falle eines Antrags auf Einstellung des Verfahrens gemäß § 171 StPO informiert werden zu wollen.

Bologna, den 23. Februar 2026

In Treu und Glauben,

Der gesetzliche Vertreter
Dr. Paolo Ferri
(Unterschrift und Stempel)

Automatisch erstellt von SpurKI AI • Rechtsmodell v2.4 Bereit zur Einreichung bei der Staatsanwaltschaft
Was Sie erhalten mit SpurKI

Das vollständige Paket, das wir liefern

📄 Forensischer Bericht (PDF, 9 Seiten)

  • Forensische E-Mail-Analyse (Header, SPF/DKIM, IP)
  • Vollständige Verfolgung der SEPA-Überweisung
  • Krypto-Verfolgung (65K USDT) bis OKX
  • Identifizierung der estnischen Briefkastenfirma
  • Verbindung mit 2 BEC-Betrügereien derselben Gruppe
  • Compliance-Kontakte für das Einfrieren
  • Maßnahmenplan mit SEPA-Recall

⚖ Strafanzeige (PDF, 11 Seiten)

  • Formelle Kopfzeile an die Behörden
  • Rekonstruktion der E-Mail-Kompromittierung
  • Details der umgeleiteten Überweisung + Aufteilung
  • Ergebnisse der forensischen Untersuchung
  • Rechtliche Einordnung (6 Straftaten)
  • Anträge auf Beschlagnahme + internationale EEA
  • Liste von 7 Anlagen

Generierungszeit: ~90 Sekunden nach Absenden der Meldung • Format: Druck- und einreichungsfertige PDFs • Bereit zur Einreichung: Die Dokumente sind vollständig und bereit zur Übergabe an die Behörden • Aktualisierungen: Wenn neue Elemente auftauchen, kann der Bericht kostenlos neu generiert werden

Haben Sie einen ähnlichen Betrug erlitten?

Kostenlose Meldung starten: In wenigen Minuten erhalten Sie den Forensischen Bericht und die Strafanzeige bereit zur Einreichung bei den Behörden.

Meldung starten →

Keine Verpflichtung. Sie zahlen nur, wenn Sie sich entscheiden, die Dokumente herunterzuladen.