Phishing-Angriffe im Namen der Finanzverwaltung

Aktuell | Handel und Geld

Mitte Juni nahm Google plötzlich keine Mails von ct.de mehr an, die Reputation der Domain sei zu gering. Jetzt hat sich das Unternehmen geäußert und zeigt mit dem Finger auf Microsoft.

Cyberkriminelle versuchen aktuell, Menschen mithilfe vermeintlicher Mails von Steuerbehörden abzuzocken. Die Masche kann man aber an einigen Unstimmigkeiten erkennen.

Mit gemailten PDFs im Namen der Steuerverwaltung wollen BetrügerMenschen zu Überweisungen verleiten., Bild: LKA Niedersachsen
Mit gemailten PDFs im Namen der Steuerverwaltung wollen BetrügerMenschen zu Überweisungen verleiten. Bild: LKA Niedersachsen

Das Landeskriminalamt Niedersachsen warnt vor Phishing-Mails, die dem Anschein nach vom Bundesministerium der Finanzen stammen. Die Mails beziehen sich vorgeblich auf die Einkommenssteuererklärung, den Steuerbescheid oder einen Steuerbetrug. Als Absender nennen die Täter zum Beispiel ein „Hauptamt der deutschen Finanzverwaltung“ oder schlicht die „Steuerbehörde“.

In der Mail heißt es unter Verweis auf eine angehängte Datei (PDF oder Bild), dass eine Steuerprüfung stattgefunden habe. Öffnet man den Anhang, droht prinzipiell bereits Gefahr durch Schadsoftware; in den bisher bekannten Fällen erhielten Betroffene ein unverseuchtes Schreiben mit scheinbar offiziellem Briefkopf. Das Deutsch im Brief ist weitgehend korrekt, ungewöhnliche Begriffe wie „Föderation“ statt „Bund“ deuten aber auf eine Übersetzungssoftware hin.

Die vorgebliche Finanzbehörde teilt in dem Schreiben mit, dass sie bei einer Prüfung eine oder mehrere Straftaten festgestellt habe. Der Mailempfänger müsse nun beispielsweise „7.108 €“ zahlen. Die Betroffenen sollen auf die Mail antworten, um Bankdaten für die Zahlung zu erhalten. Dabei setzen die Täter die Empfänger psychisch unter Druck, indem sie enge Fristen wie 48 Stunden setzen und mit strengen Haft- und Geldstrafen drohen.

Wenn man wie von den Betrügern gefordert auf die Mail reagiert, geht die Antwort an Mailadressen mit ausländischen Länderkürzeln wie .it, .es oder .bg. Im nächsten Schritt senden die Täter eine Bankverbindung zurück. Unter Umständen fordern sie auch Bilder vom Personalausweis an. Damit droht zusätzlich ein Identitätsdiebstahl. Denkbar sind außerdem Links zu angeblichen Zahlungsseiten oder Schadsoftware.

Die Betrugsmasche ist vergleichbar mit Phishing-Mails, die angeblich von der Polizei, dem BKA, Europol oder dem Zoll stammen. Keine dieser Behörden würde eine Anzeige oder gar Zahlungsaufforderung per Mail verschicken. Das LKA rät daher, solche Mails umgehend zu löschen. Geschädigte sollten möglichst schnell ihre Bank einschalten und Anzeige bei der Polizei erstatten. (mon@ct.de)