Phishing "von der Elster": Datensätze (WID-Nummer) aktualisieren

Obacht in den kommenden Wochen in Sachen Phishing im Umfeld der Steuererklärungen und des Elster-Portals zum Einreichen von Steuererklärungen. Gerade ist mir eine neue Phishing-Nachricht von einem Leser zugegangen, der auf Elster-Nutzer zielt. Im konkreten Fall stehen sogar Firmen im Visier, die Elster-Stammdaten aktualisieren sollen.

Die Steuererklärungen von 2024 werden ja langsam von den Finanzämtern abgearbeitet und bei den Steuerpflichtigen trudeln die Einkommensteuerbescheide 2024 ein. Was auch kommt, sind Phishing-Nachrichten in diesem Kontext, die Informationen über Bankverbindungen etc. abfischen möchten. Anfang September 2025 hatte ich bereits den Beitrag Vorsicht "Einkommensteuerrückerstattungs"-Phishing-Mails zu einer solchen Phishing-Mail hier im Blog eingestellt.

Neue Phishing-Mail zielt auf Firmen

Blog-Leser Wolfgang O. hat mir zum 23. September 2025 per Mail mit der Bemerkung "gerade frisch reingekommen, eine Phishing-Mail mit Bezug zu ELSTER." folgende Phishing-Mail zukommen lassen. Diese adressiert aber nicht Privatanwender, sondern nimmt Firmenangehörige ins Visier und bittet um "Datenaktualisierung":

Betreff:     Datensätze aktualisieren
Datum:     23 Sep 2025 07:51:49 -0700
Von:     ELSTER <meinelster[@]civismtp[.]org>
An:     info[at]data[.]de

Sehr geehrte Damen und Herren,

wie in jedem Jahr führen wir zum Ende des Jahres eine Durchsicht der in unserem System gespeicherten Unternehmensangaben durch. Dies dient der Qualitätssicherung und der Verlässlichkeit unserer Abläufe.

Jedes teilnehmende Unternehmen nutzt eine WID-Nummer. Damit diese ohne Unterbrechung funktioniert, ist die regelmäßige Kontrolle Ihrer Angaben erforderlich. Auch kleinere Abweichungen können sonst Auswirkungen haben.

Wir bitten Sie, die Daten im Portal zu prüfen und bei Bedarf zu berichtigen. So stellen Sie sicher, dass alle Angaben korrekt und vollständig hinterlegt sind.

Das Portal ist unter folgendem Zugang für Sie verfügbar: Portal aufrufen

<https[:]//giulemanidalvenezuela[.]net/m3k10vpkity7.php>

Die Aktualisierung trägt wesentlich dazu bei, dass Ihre Daten im kommenden Jahr korrekt zur Verfügung stehen. Sie ist daher ein wichtiger Bestandteil einer stabilen Zusammenarbeit.

Wir möchten Sie bitten, diesen Schritt bis spätestens *10. Oktober 2025* vorzunehmen. Damit schaffen wir gemeinsam Verlässlichkeit für alle Beteiligten.

Unser Support-Team hilft Ihnen gerne weiter, falls im Prozess Fragen entstehen sollten. Eine kurze Angabe Ihrer WID-Nummer erleichtert uns die Bearbeitung.

Ihre Informationen werden streng vertraulich behandelt und ausschließlich intern genutzt. Wir danken Ihnen für Ihr Engagement und Ihre Unterstützung.

Mit freundlichen Grüßen

Michael Bauer
HR-Manager

Anhand obiger URL, die hier händisch nachgetragen wurde, ist das klar als Phishing-Versuch zu erkennen. Ich habe die Adresse mal bei Virustotal prüfen lassen, die wird von Trustwave als Phishing-Ziel ausgewiesen. Abusix listet die URL als "SPAM".

Hintergrund zur Wirtschafts-Identifikationsnummer

Die Wirtschafts-Identifikationsnummer (W-IdNr.) soll ab Herbst 2024 die Kommunikation zwischen wirtschaftlich Tätigen und Behörden sowie zwischen den Behörden untereinander vereinfachen. Bei einer Neugründung wird diese automatisch vom Bundeszentralamt für Steuern vergeben (siehe hier und hier). Bestehende Unternehmen sollen die Nummer stufenweise bis voraussichtlich 2026 erhalten. Die initiale Vergabe hat am 1. November 2024 begonnen. Es ist kein gesonderter Antrag erforderlich.