Neue Betrugsmasche mit Steuerrückzahlungen für 2024
von caschy | 12 Kommentare
Eine neue Betrugsmasche macht derzeit die Runde. Cyberkriminelle versenden E-Mails, die angeblich vom Steuerportal ELSTER stammen und Rückzahlungen für das Jahr 2024 versprechen. Die Betrüger nutzen dabei einen Trick: Sie ersetzen den Buchstaben „L“ in ELSTER durch ein großes „I“, sodass die gefälschte Absender-Domain „eister.de“ auf den ersten Blick echt aussieht.
Die elektronische Steuererklärung ELSTER ist ein offizielles Portal der deutschen Finanzverwaltung. Die Betrüger kopieren das originale ELSTER-Logo und verwenden es in ihren Phishing-Mails. Als Absender erscheint die Adresse „Elster-Steuerinspektion@eister.de“. Die E-Mails enthalten einen auffälligen grünen Button mit der Aufschrift „Zum Steuerzugang“, der zu verschiedenen betrügerischen Webseiten führt.
Betrugsmail Elster
Eine Mitarbeiterin des Landesamtes für Steuern Niedersachsen erhielt eine solche Phishing-Mail und erkannte die Fälschung. Diese neue Masche reiht sich ein in frühere Betrugsversuche, bei denen bereits gefälschte Steuerbescheide per Post verschickt wurden.
Die Links in den betrügerischen E-Mails führen zu unterschiedlichen Zielen. Einige Nutzer werden zu nicht erreichbaren Webseiten geleitet, andere zu Onlineshops für Tierbedarfszubehör oder Modeartikel. Es wurden auch Weiterleitungen zu gefälschten Nachrichtenseiten über Kryptowährungen beobachtet.
Besonders gefährlich sind die Varianten, die Schadprogramme verbreiten wollen. Auf Apple-Geräten erscheinen gefälschte Warnungen, die behaupten, der Computer sei mit Schadsoftware infiziert. Die Nutzer werden aufgefordert, einen angeblichen Apple-Support zu kontaktieren. Diese Masche ähnelt bekannten Betrugsfällen mit gefälschtem Microsoft-Support.
Die Betrüger hätten durch Mail-ID-Spoofing theoretisch sogar die echte Domain elster.de als Absender verwenden können. Sie setzen jedoch auf die optische Täuschung mit dem ausgetauschten Buchstaben.
Die Gefahr dieser Betrugsmasche liegt besonders in der Nutzung von Smartphones, wo die manipulierte Domain noch schwerer zu erkennen ist. Moderne Webbrowser erkennen teilweise bereits die betrügerischen Webseiten und blockieren den Zugriff aus Sicherheitsgründen.
Das LKA Niedersachsen weist weiter darauf hin: Sollten Nutzer eine Mail im Aussehen von ELSTER bekommen haben, dann haben sie diesbezüglich zuvor auch etwas selbst initiiert (z. B. gerade Elster genutzt und Ihre Steuererklärung abgeschickt). Sollten Anwender unsicher sein, so sollten sie logischerweise niemals auf einen Link einer solchen Mail klicken.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Danke für die Info. Solche Sachen sind immer besonders fies, wenn man früh morgens seine Mails durchgeht. Das kann echt jeder übersehen. Sollte man immer noch drei Mal prüfen, aber die News darüber schafft jedenfalls wieder mehr bewusst sein. Sehr wichtig. Danke.
Wer hat denn im Januar sein Steuergedöns schon eingereicht? 😉
Ich, wieso auch nicht? Die Nebenkostenabrechnung kam vor 4 Tagen an, danach direkt eingereicht.
Wieso werden bei behördlichen Domains solche nicht gleich mit registriert. Das Problem gibt es doch schon seit mehr als 20 Jahren
Das hat doch gar nix damit zu tun. Im Text steht, das der Link auf verschieden Betrugsseiten führt.
Eine E-Mail mit einer gefälschten Absenderadresse ist doch kein Problem mehr. Hätten die sich noch mehr Gedanken gemacht, dann wäre das i in eister.de einfach groß geschrieben worden. eIster sieht dann nämlich wie elster aus.
Löst doch das Problem nicht. Umlaute, Subdomains, homografische Attacken (wie diese hier), kyrillisch, chinesisch, arabisch — und am Ende ist es ja auch egal, weil Du auf deinem eigenen Mailserver sowieso als Absender Napoleon eintragen kannst.
Das Kernproblem ist schlich, dass wir kein „OpenSource-Deutschland-WhatsApp“ haben, über das nur Staat, Behörde, Gericht, Krankenkasse kommunizieren, und sonst keiner.
Technisch gesehen kommt hierzulande eine gerichtliche Vorladung im gleichen Pappkarton wie der Schweinenacken-Handzettel von ALDI. Es ist auch für erfahrene User nur eine Frage der Zeit, bis man irgendwo mal was falsches anklickt.
Email ist eine Mülltonne.
Einfache Gegenmaßnahme: Schriftart auf „Serif“ einstellen… 🙂
>> Die Betrüger hätten durch Mail-ID-Spoofing theoretisch sogar die echte Domain elster.de als Absender verwenden können. Sie setzen jedoch auf die optische Täuschung mit dem ausgetauschten Buchstaben.
Da machen die vermeintlichen Betrüger es selbst einfach, den Betrug aufzudecken und sind damit erfolgreich. Wer darauf reinfällt, weil er derartig unachtsam mit seinen E-Mails umgeht, der muss einfach Lehrgeld geben.
Wenn der originale Absender und der Empfänger SPF, DKIM und DMARC richtig verwenden, ist das recht schwierig.
Als ob da jemand drauf reinfällt. Es muss doch jedem komisch vorkommen, wenn der Staat einem Geld geben will, das ist doch so garnicht in dessen Plan vorgesehen, der Staat nimmt nur, er gibt nie! Selber Schuld, wer drauf reinfällt!
Ich verwende für derartige Dienste in der Regel eine andere Email-Adresse, wie für meinen ganzen anderen Kram.
Wenn solche Emails auf meiner daily-mail-adresse ankommen, bin ich sofort gewarnt, da ich diese nicht für Steuerkram verwende.
Bisher konnte ich so immer schnell den Phishing-Versuch abwehren. Aber freisprechen will ich mich davon nicht.
Das kann jeden treffen, es muss der richtige ungünstige Moment kommen.
Sorry, aber E-Mails vom Finanzamt sind doch ziemlich unwahrscheinlich. Auch wenn die Finanzverwaltung so tut, als hätte sie mit Elster den Schlüssel zur Digitalisierung gefunden. Wenn überhaupt, wird man über einen Dokumenteingang im Elster-Postfach per E-Mail informiert. Wer dann beim Elster-Login nicht stutzig wird, weil er keines der definierten Sicherheitsmerkmale benutzen muss, dem ist nicht zu helfen.