![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Derzeit ackern wohl viele Steuerpflichtige an ihrer Steuererkl\u00e4rung 2025 (rechts auf meinem Schreibtisch liegen auch noch Unterlagen zur Fertigstellung). Danach wartet man auf den Steuerbescheid. Cyberkriminelle wissen dies und bereitet sich Monate im Voraus vor, um Opfer mit dem Thema Steuer zu \u00fcberlisten.<\/p>\n
<\/p>\n
Check Point Software Technologies hat bereits vor einigen Wochen vor einer deutlichen Zunahme von auf die Steuererkl\u00e4rungszeit ausgerichteten Cyberangriffen gewarnt. Neue Erkenntnisse von Check Point Research zeigen, dass diese Kampagnen nicht opportunistisch entstehen.<\/p>\n
Die Angreifer bauen ihre Infrastruktur Monate im Voraus auf, indem sie betr\u00fcgerische Domains, Phishing-Websites und sch\u00e4dliche E-Mail-Kampagnen nutzen. Hierzulande wird vor allem mit angeblichen E-Mails von Elster und Steuerbeh\u00f6rden betrogen, in anderen L\u00e4ndern gibt es eine Reihe von Beispielen, wie perfide die Betr\u00fcger vorgehen. Die wichtigsten Ergebnisse aus der Check Point-Warnung sind:<\/p>\n
Die Daten zeigen einen klaren Trend: Bereits Monate vor dem eigentlichen H\u00f6hepunkt der Steuerperiode registrieren Threat Actors massenhaft neue Domains mit steuerbezogenen Keywords und Namen von Beh\u00f6rden. Die Aktivit\u00e4t nahm gegen Ende 2025 zu und verst\u00e4rkte sich ab November deutlich.\u00a0Auff\u00e4llig ist dabei nicht nur das hohe Volumen von hunderten neu registrierten Domains mit Steuerbezug, sondern auch der Umstand, dass jede 15. dieser Domains als b\u00f6sartig oder verd\u00e4chtig eingestuft wurde. Im M\u00e4rz 2026 versch\u00e4rfte sich die Lage weiter, denn eine von zehn neu registrierten Steuer-Domains wurde als riskant markiert.<\/p>\n
Die US-Steuerbeh\u00f6rde IRS ist zwar f\u00fcr die meisten deutschen Blog-Leser kein Thema, und meine US-Steuernummer bei der IRS m\u00fcsste zwischenzeitlich auch abgelaufen sein. Aber das Ganze funktioniert auch mit deutschen Finanz\u00e4mtern und \"Steuererstattungs-Phishing-Mails\".<\/p>\n
Im Januar 2026 wurden mehrere Phishing-Domains identifiziert, die den US Internal Revenue Service (IRS) imitieren, darunter 2025irswebsiteislive[.]live<\/em>\u00a0und irstax-refund[.]xyz.<\/em>\u00a0Beide Seiten wirken wie Teil derselben koordinierten Kampagne, da Inhalte und Funktionen nahezu identisch sind. Die Websites locken mit gef\u00e4lschten \u201eTax Refund\"-Versprechen und werben mit unrealistisch hohen Auszahlungen, beispielsweise 1.400 US-Dollar pro Woche oder eine Einmalzahlung von 38.700 US-Dollar.<\/p>\n Anschlie\u00dfend werden die Opfer dazu gebracht, sensible pers\u00f6nliche Informationen wie ihren vollst\u00e4ndigen Namen, ihre Social Security Number, ihre Telefonnummer und ihre E-Mail-Adresse einzugeben. Darauf folgt ein zus\u00e4tzlicher Schritt zur Identit\u00e4tsverifizierung, was stark auf eine gro\u00df angelegte Datenernte hindeutet.<\/p>\n Neben betr\u00fcgerischen Websites wurde im Februar 2026 auch eine sch\u00e4dliche E-Mail-Kampagne beobachtet, die die spanische Steuerbeh\u00f6rde Agencia Tributaria (AEAT) imitiert. In einem dokumentierten Fall wurde eine E-Mail mit der gef\u00e4lschten Absenderadresse agenciatributaria@correo.aeat.es<\/em> an ein spanisches Industrieunternehmen gesendet.<\/p>\n Die E-Mail trug den Betreff \u201eAEAT \u2013 Notification Notice 2026\" bzw. \u201eAEAT \u2013 Aviso de notificaci\u00f3n 2026\". Sie enthielt einen ausf\u00fchrbaren Anhang, der als \u201eTrojan.Downloader\/Trojan.Minix (NSIS)\" klassifiziert wurde. Dieser fungiert als Loader, der weitere Schadsoftware nachl\u00e4dt und ausf\u00fchrt. Dadurch k\u00f6nnen sekund\u00e4re Bedrohungen wie Credential Stealer oder Keylogger auf das System gelangen. Dies kann eine weitergehende Kompromittierung und den Abfluss sensibler Daten erm\u00f6glichen.<\/p>\n Die Steuerzeit 2026 schafft ideale Bedingungen f\u00fcr Cyberkriminalit\u00e4t: Es sind gro\u00dfe Mengen sensibler Identit\u00e4ts- und Finanzdaten vorhanden, es wird mit offizieller Kommunikation gerechnet und es herrscht Zeitdruck. Die aktuellen Beobachtungen zeigen, dass Angreifer diese Situation planvoll ausnutzen und ihre Infrastruktur lange im Voraus aufbauen.<\/p>\n Zur Risikoreduktion ist es entscheidend, neue steuerbezogene Domains fr\u00fchzeitig zu erkennen, Phishing-Versuche zu identifizieren und die Ausf\u00fchrung sch\u00e4dlicher Dateien zu verhindern. Dies sollte in Kombination mit proaktiven Sicherheitsma\u00dfnahmen und gut informierten Anwendern erfolgen.\u00a0Weitere Details wurden im Check Point Blog-Beitrag\u00a0Tax Season 2026: How Cyber Criminals Are Preparing Their Attacks Months in Advance<\/a> ver\u00f6ffentlicht.<\/p>\n \u00c4hnliche Artikel:<\/strong> Derzeit ackern wohl viele Steuerpflichtige an ihrer Steuererkl\u00e4rung 2025 (rechts auf meinem Schreibtisch liegen auch noch Unterlagen zur Fertigstellung). Danach wartet man auf den Steuerbescheid. Cyberkriminelle wissen dies und bereitet sich Monate im Voraus vor, um Opfer mit dem Thema … Weiterlesen Malware-Mail im Namen der spanischen Steuerbeh\u00f6rde<\/h2>\n
Fazit von Checkpoint<\/h2>\n
\nPhishing-Warnung \"Steuererstattung 2025\"<\/a>
\nVorsicht \"Einkommensteuerr\u00fcckerstattungs\"-Phishing-Mails<\/a>
\nPhishing (Scam-Welle): Betrugsmails vom BMF wegen Steuern<\/a>
\nPhishing-Alarm: Steuerbescheid, Rechnung oder Elster-Restbetrag<\/a>
\nSteuererkl\u00e4rung per KI? Expertin warnt vor Risiken<\/a>
\nBSI-Untersuchung: 9 Steuererkl\u00e4rungs-Apps mit 97 IT-Sicherheitsm\u00e4ngeln<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"