Nachdem in Deutschland am 31. Juli 2025 die Frist zur Abgabe der Einkommensteuererklärungen 2024 abgelaufen ist, trudeln einerseits die Steuerbescheide bei den Steuerpflichtigen ein. Andererseits machen sich Phisher diesen Umstand zunutze und versuchen im Umfeld der Steuerbescheide "im Trüben zu fischen". Mir ist gerade ein solcher Fall zugegangen.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Mir sind in den letzten Wochen einige Phishing-Mails, die irgend etwas mit Finanzamt im Betreff führten, im Spam-Ordner meiner Postfächer aufgefallen – habe ich aber nicht beachtet. Genau so wenig wie die PayPal-Phishing-Mails, oder die Mails, die angeblich eine Verifizierung meiner Bankzugänge fordern. Aber bei Steuern, speziell bei Rückerstattungen, werden einige Leute unvorsichtig. Daher nehme ich die Warnung mal hier im Blog auf.
Steuererstattung in einer Mail "versprochen"
Jetzt hat mir Blog-Leser Benjamin I. eine entsprechende Phishing-Mail zukommen lassen, die nach seiner Meinung "gut gemacht ist". Der Köder ist des Deutschen Trigger-Wort "Einkommensteuerrückerstattung". Nachfolgende Mails verdeutlicht den Sachverhalt:
In der Phishing-Mail wird eine Einkommensteuerrückerstattung avisiert, um dem Empfänger zu triggern. In obiger Phishing-Mail ist aber bereits erkennbar, dass diese Mail nicht vom Finanzamt oder vom Elster-Portal kommt – denn der Absender hat eine .sk-Domain missbraucht. Was mir im Hinblick auf das vermeintlich "gut gemacht" sofort auffällt: Das "Finanzamt" hat schlicht vergessen, eine Steuernummer mit anzugeben. Werden die immer schlamperter? Oder ist es eher ein Indiz, dass es Phishing ist? Eher letzteres.
Auch die Formulierung, dass man (bei Elster) nicht nicht über ausreichende Informationen verfüge, um die Steuer fristgerecht zu erstatten, ist natürlich Unsinn. Die Phisher versuchen, die Leute dazu zu bringen, dass diese "Zur korrekten und rechtzeitigen Auszahlung" der vermeintlichen Erstattung ergänzende Angaben zum Bankkonto tätigen.
Finger weg, keinesfalls Daten angeben
Was genau erfragt wird, kann ich nicht genau sagen. Ich hatte vermutet, dass die Bankdaten für die vermeintliche Erstattung abgefragt würden. Meine Kontrolle der in der Phishing-Mail unter "Zum Formular" angegebenen URL in Virustotal ergab, dass diese bereits als "malicious", also schädlich, angegeben wurde.
In einer Testumgebung wurde der Browser auf eine Amazon-Anmeldeseite umgeleitet. Ob da eine Browserweiche vorhanden ist, die je nach Umgebung eine Weiterleitung vornimmt habe ich nicht getestet. Auch liegt mir der Mail-Header nicht vor.
Elster verschickt keine Erstattungs-Mails
Generell gilt: Vorsicht vor solchen Mails des Finanzamts – das ist durch die Bank Phishing. Steuerbescheide kommen entweder per Post (die Variante, die ich bevorzuge), oder werden im Elster-Portal in das Postfach des Steuerpflichtigen zugestellt. Diese letztgenannt Variante muss man explizit freischalten. Diese Variante habe ich persönlich nie aktiviert, weil nach meiner Lesart dann keine Papierbescheide mehr kommen. Ich müsste proaktiv mein Elster-Postfach ständig überwachen, um Mitteilungen des Finanzamts, u.a. zur Fristwahrung abprüfen.
Falls jemand also sein Elster-Postfach aktiviert hat, erhält er höchstens eine Benachrichtigung, dass Post im Elster-Postfach vorliegt. Dann muss er sich über sein Elster-Zertifikat oder eine andere angebotene Authentifizierungsmethode anmelden, um die Bescheide abzurufen.
Die Phishing-Wellen kommen regelmäßig im August oder September. 2024 hatte ich eine Warnung im Beitrag Phishing-Alarm: Sparkassen, QR-Code in Bank-Briefen, ELSTER.
MVP: 2013 – 2016
Also ich weis ja nicht, wenn ich ne Einkommenssteuer-Rückersattung bekomme, trudelt das Geld einfach ein paar Wochen später auf meinem Konto ein, da muss ich nix extra machen, also weshalb sollte ich da irgendwas per Mail machen?
Und wenn das Steueramt nicht ausreichend Daten hat, kommt es erst gar nicht zur Erstattung, dann wird das erst gar nicht weiter bearbeitet und die fordern erstmal fehlende Unterlagen an, aber das passiert keinesfalls per Mail.
Sollte also "auffallen", das da was nicht stimmt, selbst abseits der typischen Merkmale.
Da muss man also schon "sehr naiv" sein…
Hmm… vllt. liegt's ja an mir, aber mir fehlt da auch immer die Fantasie mir vorzustellen, was jemand mit meiner "abgefischten Bankverbindung" anfängt – das allein langt doch nicht zum Mißbrauch, da müßte doch mind. noch ein SEPA-Lastschriftmandat o. Dergl. vorliegen, oder was überseh' ich?
Du kannst doch per Lastschrift einkaufen gehen, wenn iban und Empfänger hast.
Nur ein Beispiel … das hoffentlich keine Schule macht … da braucht es wenig Fantasie für.
Njääh, das mit dem Mißbrauch des Lastschrift-Einkaufs ist mir tatsächlich noch nicht widerfahren und dsh. auch nicht mitbedacht, aber für jegliche Soll-Belastung wird da auch ein entsprechendes SEPA-Mandat fällig, dass man in seinem Konto ersieht – vllt. natürlich nicht, wenn man nur alle Jubelmonate da mal drauf guckt, aber das gehört dann m. Mg. n. wieder in die Kategorie selbstverschuldete Vernachlässigung der Eigenverantwortlichkeit.
Es gibt ja heutzutage auch durchaus Möglichkeiten sein Konto gegen solcherlei Dinge abzusichern – klar, geht dann eben zu Lasten der Bequemlichkeit.
Ansonsten ginge mit den Daten doch nur Haben-Transaktion, oder was sollte an Mißbrauchsmöglichkeit noch vorhanden sein?
Das SEPA Mandat ist da dann einfach gefakt, Lastschriften kannst du zurückholen lassen, aber nur begrenzte Zeit, wenn du dein Konto also nicht überprüfst… Tada!
Ärger und Zeit bedeutet es aber auch bei rechtzeitigem Handeln.
**************
Was [n/t]un?
**************
Datensparsamkeit! Hilft! Nicht überall seine Daten verteilen.
Ist jetzt natürlich blöd, aber genau dafür hat man Paypal! Der Händler kriegt deine Kontodaten erst gar nicht. Der kriegt nur deine Lieferadresse und das Geld (und das als Kunde noch relativ safe, bei Problemen).
Genau diese Fälle hatte ich doch vor einigen Wochen im Blog Betrugsfall mit falschem SEPA-Mandat über sevdesk
Hmm… wer als Einkommenssteuerpflichtiger (AN) benutzt denn bspw. diese sevdesk-Lösung?
Und natürlich sind Unternehmen wohl auch immer eher mißbrauchsgefährdet, allerdings gründete der Fall ja auch auf einer Fälschung, gegen die's an sich eben auch keine Prävention gibt.
Genau so wenig, wie gegen einen durchaus möglichen Abfluß der eigenen Daten bei Unternehmen, denen man sie zwecks Sachbearbeitung anvertraut und sich in gutem Glauben verlässt, wobei man aber aus diversen validen Gründen (bspw. gesetzl. Bestimmungen) auch gar keine Wahlalternative hat.
Was [n/t]un?
Gier frisst Verstand. Da lesen Leute "Einkommenssteuer-Rückersattung". Haben $ oder €-Zeichen in den Augen und schalten den Verstand aus.
Außerdem fehlt neben der Steuernummer auch die persönliche Anrede.
"Elster verschickt keine Erstattungs-Mails"
Ich bekomme eine E-Mail von Elster, wenn meine Steuererklärung bearbeitet wurde und ich den Bescheid mit meiner Steuersoftware abrufen kann. Das könnte man, oberflächlich betrachtet, schon als "Erstattungs-Mail" ansehen, wenn man eine Erstattung erwartet.
Ich klicke grundsätzlich nicht auf Links in E-Mails, da auch bei seriösen Absendern (z. B. meine Bank) die Links nicht auf die Anbieterdomain verweisen, sondern unendlich lange, kryptische Codes von irgendeinem Versandservices sind, oder Linkverkürzer, genauso übel.
Aber erkläre das mal dem KI-Agenten des Anbieters oder deinem IT-bildungsfernen Umfeld. Ich sollte mir den Alias "Don Quixote" zulegen ;-)
"Das könnte man, oberflächlich betrachtet, schon als "Erstattungs-Mail" ansehen, wenn man eine Erstattung erwartet."
Auch hier nährt leider eine gewisse Gier eine falsche "Erwartungshaltung", weil eben grundsätzlich von einer zustehenden Erstattung ausgegangen wird.
Ändert man für sich diese Anspruchshaltung können einem solche Mißbrauchsversuche nichts mehr anhaben.
Am Rande angemerkt, Elster verschickt z.B. legitime "Mein ELSTER: Benachrichtigung zum Zertifikatsablauf" Mails mit darin Links z.B. zum Elster Login, zum FAQ, zum Chat, zu einer Ansprechpartnerliste.
Das einfach mit „Gier" abzutun, ist ziemlich ignorant gegenüber einem Großteil der Bevölkerung: Da wurden alle gezwungen, ihre Steuererklärung ausschließlich per ELSTER abzugeben – auch Leute, die mit Computer und Behördenkram auf Kriegsfuß stehen und das mehr schlecht als recht auf die Reihe kriegen. Das ganze Zeremoniell mit Zertifikaten und Legitimation und Blah ist vielen einfach fremd, und dann wird einem noch von allen möglichen Institutionen ein Postfach hier und ein Postfach dort zugeteilt und alle paar Tage schneit eine Aufforderung rein, sich irgendwo einzuloggen, um irgendwelche „wichtige Dokumente" abzurufen.
Vielen Menschen, die eben nicht bloß in Verwaltungsjobs arbeiten, ist das längst zu kompliziert geworden. Wenn da eines Tages eine Mail eintrudelt, in der zusätzliche Angaben verlangt werden, dann leisten sie dem achselzuckend Folge. Die würden das auch machen, wenn sie mit einer Nachzahlung konfrontiert würden. – Einfach deshalb, weil „Bürgernähe" nur noch ein Fremdwort aus den 1970er-Jahren ist und „Digitalisierung" das aktuelle Schlagwort, dem sich alles ohne zu fragen unterzuordnen hat.
100% Zustimmung.
Da wären wir doch dann wieder beim Recht auf Analog, so wie Günter das vor Tagen hier schon mal thematisiert hat.
Und zwar zu Recht.