Derzeit ackern wohl viele Steuerpflichtige an ihrer Steuererklärung 2025 (rechts auf meinem Schreibtisch liegen auch noch Unterlagen zur Fertigstellung). Danach wartet man auf den Steuerbescheid. Cyberkriminelle wissen dies und bereitet sich Monate im Voraus vor, um Opfer mit dem Thema Steuer zu überlisten.
Check Point Software Technologies hat bereits vor einigen Wochen vor einer deutlichen Zunahme von auf die Steuererklärungszeit ausgerichteten Cyberangriffen gewarnt. Neue Erkenntnisse von Check Point Research zeigen, dass diese Kampagnen nicht opportunistisch entstehen.
Kampagnen werden von langer Hand vorbereitet
Die Angreifer bauen ihre Infrastruktur Monate im Voraus auf, indem sie betrügerische Domains, Phishing-Websites und schädliche E-Mail-Kampagnen nutzen. Hierzulande wird vor allem mit angeblichen E-Mails von Elster und Steuerbehörden betrogen, in anderen Ländern gibt es eine Reihe von Beispielen, wie perfide die Betrüger vorgehen. Die wichtigsten Ergebnisse aus der Check Point-Warnung sind:
- Zwischen September 2025 und Februar 2026 wurden jeden Monat hunderte neue Domains mit Steuerbezug oder Namen von Steuerbehörden registriert.
- Bereits in diesem Zeitraum wurde jede 15. neu registrierte Steuer-Domain als bösartig oder verdächtig eingestuft.
- Im März 2026 stiegen sowohl Volumen als auch Risiko weiter: Jede zehnte neu registrierte Domain wurde als riskant markiert.
- IRS-Imitationsdomains, die mit gefälschten Steuerrückzahlungen zur Preisgabe sensibler Daten verleiten.
- In Spanien wurde im Februar 2026 eine schädliche E-Mail-Kampagne beobachtet, die die Agencia Tributaria (AEAT) imitiert und ein Trojaner-Loader-Executable verbreitet.
Die Daten zeigen einen klaren Trend: Bereits Monate vor dem eigentlichen Höhepunkt der Steuerperiode registrieren Threat Actors massenhaft neue Domains mit steuerbezogenen Keywords und Namen von Behörden. Die Aktivität nahm gegen Ende 2025 zu und verstärkte sich ab November deutlich. Auffällig ist dabei nicht nur das hohe Volumen von hunderten neu registrierten Domains mit Steuerbezug, sondern auch der Umstand, dass jede 15. dieser Domains als bösartig oder verdächtig eingestuft wurde. Im März 2026 verschärfte sich die Lage weiter, denn eine von zehn neu registrierten Steuer-Domains wurde als riskant markiert.
IRS-Phishing mit "Tax Refund"-Ködern
Die US-Steuerbehörde IRS ist zwar für die meisten deutschen Blog-Leser kein Thema, und meine US-Steuernummer bei der IRS müsste zwischenzeitlich auch abgelaufen sein. Aber das Ganze funktioniert auch mit deutschen Finanzämtern und "Steuererstattungs-Phishing-Mails".
Im Januar 2026 wurden mehrere Phishing-Domains identifiziert, die den US Internal Revenue Service (IRS) imitieren, darunter 2025irswebsiteislive[.]live und irstax-refund[.]xyz. Beide Seiten wirken wie Teil derselben koordinierten Kampagne, da Inhalte und Funktionen nahezu identisch sind. Die Websites locken mit gefälschten „Tax Refund"-Versprechen und werben mit unrealistisch hohen Auszahlungen, beispielsweise 1.400 US-Dollar pro Woche oder eine Einmalzahlung von 38.700 US-Dollar.
Anschließend werden die Opfer dazu gebracht, sensible persönliche Informationen wie ihren vollständigen Namen, ihre Social Security Number, ihre Telefonnummer und ihre E-Mail-Adresse einzugeben. Darauf folgt ein zusätzlicher Schritt zur Identitätsverifizierung, was stark auf eine groß angelegte Datenernte hindeutet.
Malware-Mail im Namen der spanischen Steuerbehörde
Neben betrügerischen Websites wurde im Februar 2026 auch eine schädliche E-Mail-Kampagne beobachtet, die die spanische Steuerbehörde Agencia Tributaria (AEAT) imitiert. In einem dokumentierten Fall wurde eine E-Mail mit der gefälschten Absenderadresse agenciatributaria@correo.aeat.es an ein spanisches Industrieunternehmen gesendet.
Die E-Mail trug den Betreff „AEAT – Notification Notice 2026" bzw. „AEAT – Aviso de notificación 2026". Sie enthielt einen ausführbaren Anhang, der als „Trojan.Downloader/Trojan.Minix (NSIS)" klassifiziert wurde. Dieser fungiert als Loader, der weitere Schadsoftware nachlädt und ausführt. Dadurch können sekundäre Bedrohungen wie Credential Stealer oder Keylogger auf das System gelangen. Dies kann eine weitergehende Kompromittierung und den Abfluss sensibler Daten ermöglichen.
Fazit von Checkpoint
Die Steuerzeit 2026 schafft ideale Bedingungen für Cyberkriminalität: Es sind große Mengen sensibler Identitäts- und Finanzdaten vorhanden, es wird mit offizieller Kommunikation gerechnet und es herrscht Zeitdruck. Die aktuellen Beobachtungen zeigen, dass Angreifer diese Situation planvoll ausnutzen und ihre Infrastruktur lange im Voraus aufbauen.
Zur Risikoreduktion ist es entscheidend, neue steuerbezogene Domains frühzeitig zu erkennen, Phishing-Versuche zu identifizieren und die Ausführung schädlicher Dateien zu verhindern. Dies sollte in Kombination mit proaktiven Sicherheitsmaßnahmen und gut informierten Anwendern erfolgen. Weitere Details wurden im Check Point Blog-Beitrag Tax Season 2026: How Cyber Criminals Are Preparing Their Attacks Months in Advance veröffentlicht.
Ähnliche Artikel:
Phishing-Warnung "Steuererstattung 2025"
Vorsicht "Einkommensteuerrückerstattungs"-Phishing-Mails
Phishing (Scam-Welle): Betrugsmails vom BMF wegen Steuern
Phishing-Alarm: Steuerbescheid, Rechnung oder Elster-Restbetrag
Steuererklärung per KI? Expertin warnt vor Risiken
BSI-Untersuchung: 9 Steuererklärungs-Apps mit 97 IT-Sicherheitsmängeln
MVP: 2013 – 2016
hier auch zuhauf.
insbesondere @bzst.de-mail.de und elster@portal.de als Absender. Gibt aber auch andere.
Mal ne blöde Frage:
Vor kurzem ging es hier ja um das Thema Verifikation der Domaininhaber Adresse.
Und soweit ich weiss, ist das ja nicht nur bei DENIC Pflicht, sondern auch bei ICANN, und somit doch weltweit – oder?
Theoretisch müsste es dann doch einfach sein, von den für Betrug/Angriffe genutzten Domains dann die Inhaber verantwortlich zu machen.
Aber sicher ist die Inhaber-Verifikation auch wieder kein Hindernis für Kriminelle, sondern nur eine sinnlose Zeitverschwendung der 99%(?) ohnehin rechtschaffenen Domain-Besitzer – genauso wenig wie die Ausweispflicht für Prepaid-Sims auch keine Verbrechen verhindern kann, oder sehe ich das falsch?
"genauso wenig wie die Ausweispflicht für Prepaid-Sims auch keine Verbrechen verhindern kann, oder sehe ich das falsch?"
Die Ansicht kann ich absolut nichtz nachvollziehen..
Sobald du irgendeine Authentifizierung oder irgendeinen Aufwand benötigt, dann erschwert man es den Kriminell. Im Falle der PrePaid-Sim aus meiner Sicht massiv, weil man jetzt irgendwie die Ausweispflicht infrastrukturell auch mit abbilden musst. Die Umsetzung ist aufwendiger, gefährlicher und bring die Leute noch mehr in Probleme, weil ggf. zusätzliche Straftaten nötig sind
Ein paar kleine Kriminelle sind dazu schon geistig gar nicht in der Lage, die können die Straftaten gar nicht mehr ausführen oder verzichten darauf eine Prepaid-Sim zu nutzen, nutzen unsichere Möglichkeiten. Die Kriminellen die noch Prepaid-Sim nutzen möchten, haben mehr Aufwand.
Einerseits richtig. Andererseits liegen jetzt zig Millionen Ausweis-Kopien auf irgendwelchen Servern und warten darauf, dass jemand herausfindet, wie man die, hm, zweitverwerten kann. Beispielsweise könnte man „Steuer-Mails" damit bestimmt noch glaubwürdiger machen…
„Und? Nur weil mich jemand mit korrekten Daten anspricht, macht das die Sache auch nicht glaubwürdiger."
Mann prüft seine Gechäftspartner, das schließt auch die Absenderadresse mit ein! Ist jetzt nicht schwer die korrekte Adresse von Behörden in Erfahrung zu bringen.
Das dürfte so nicht korrekt sein.
Die dürfen zwar eine Kopie machen, die muss aber m.W. unverzüglich vernichtet werden wenn die relevanten Daten für den Vertragsabschluss erhoben wurden.
Ob das dann passiert… Auch würde ich mal den Ablauf von sowas kritisieren, gerade bei den Video-Ident wo irgendwelche Inder dir sagen wie man den Ausweis in die Kamera hält… Die Umsetzung ist meiner Wahrnehmung nach oft eine Katastrophe. Immer noch besser als einfach so PrePaid-Karten raszugeben. Wenn jetzt Jemand im Call-Center scheiße macht, dann kommt man den evtl. auch besser auf die Spur.
Unabhängig davon kann man einfach auf Kleinanzeigen gehen und dort Leute nach ihrer Ausweiskopie fragen.
Was nicht per offizieller Ausweisapp oder klassischem Postident geht, verweigere ich einfach!
VideoIdent oder Ausweiskopie hochladen kommt nicht in Frage.
Z.B. Congstar(Telekom-Tochter)-SIM geht per Ausweisapp.
Telekom-SIM nur per per VideoIdent, danke nein!
Wenn eine Email einen ausführbaren Anhang hat und bei einer Firma irgenein Postfach erreicht, dann ist das eine massive Fehlkonfiguration des Email-Filters.
Der hat alle Emails mit ausführbaren Anhängen (dazu gehören auch Officedateien mit Makros) gleich auszufiltern und nicht zuzustellen.