Das Ziel: Konto- und Kreditkartendaten ergaunern.
Das Bundesfinanzministerium schlug am Sonntag Alarm. Kriminelle geben sich in einer massiven E-Mail-Kampagne als Bundeszentralamt für Steuern (BZSt) aus. Sie locken mit angeblichen Steuererstattungen.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Die Nachrichten wirken verblüffend echt. Angeblich hätten Empfänger zu viel Einkommensteuer gezahlt und Anspruch auf eine Rückzahlung. Wer darauf klickt, landet auf einer manipulierten Webseite. Dort sollen Kontodaten und Kreditkarteninformationen preisgegeben werden.
Das Ministerium stellt klar: Es handelt sich um Identitätsdiebstahl für kriminelle Zwecke. Bürger sollten solche Mails sofort löschen.
Internationale Welle des Behördemnissbrauchs
Die Masche ist kein Einzelfall. Weltweit nutzen Cyberkriminelle das Vertrauen in staatliche Stellen aus.
Am Samstag warnten indonesische Behörden vor gefälschten Profilen des Finanzministers Purbaya Yudhi Sadewa. Auf Facebook und TikTok lockten die Täter mit falschen Versprechen über staatliche Hilfsgelder.
Auch Griechenland meldete einen Vorfall: Phishing-Mails mit der gefälschten Unterschrift des Polizeichefs Dimitrios Mallios drohten Empfängern mit sofortiger Verhaftung wegen angeblicher Cyber-Bedrohungen.
AOK-Mitglieder im Visier
Neben Behörden rücken zunehmend Dienstleister in den Fokus. Am Samstag meldeten Verbraucherzentralen eine massive Phishing-Welle gegen AOK-Mitglieder.
Die Masche: Betrüger fordern eine Identitätsprüfung für das Online-Portal. Wer nicht reagiert, dem droht die Kontosperrung. Dahinter steckt der Versuch, an Banking-Zugänge zu gelangen.
Sicherheitsexperten von Kaspersky berichten von einer neuen Professionalisierung der Angriffe. Kriminelle nutzen legitime IT-Infrastrukturen wie Google AppSheet, um Sicherheitsprüfungen zu umgehen. Sie geben sich als Personalabteilungen von Apple, Meta oder Coca-Cola aus.
Sogar offizielle Microsoft-Versandadressen wurden am Samstag zweckentfremdet. Die Täter schleusten Zahlungsaufforderungen in legitime E-Mail-Verläufe ein.
Hohe Verluste – geringe Chancen auf Rückzahlung
Die Schäden sind enorm. Laut FBI verursachte allein KI-gestützter Stimmmanipulationsbetrug 2025 in den USA Schäden von 893 Millionen Euro.
In Deutschland sorgte eine Smishing-Welle zwischen dem 22. und 26. Mai im Raum Hamm für Verluste im fünfstelligen Bereich.
Ein Urteil des Landgerichts Karlsruhe vom 20. Mai (Az. 8 O 266/25) zeigt die bittere Realität für Opfer: Ein Senior überwies über 100.000 Euro für Goldbarren auf ein manipuliertes Konto. Das Gericht entschied: Der Zahlende trägt das Verlustrisiko. Eine allgemeine Pflicht zur Ende-zu-Ende-Verschlüsselung gibt es nicht. Auch aus der DSGVO ließ sich kein Schadensersatzanspruch ableiten.
Neue Angriffsmethoden – und erste Gegenwehr
Die Sicherheitslage verschärft sich rasant. Kaspersky meldet für Januar bis April 2026 einen Anstieg von NFC-Angriffen auf Android-Geräte um 188 Prozent. Ein spezialisiertes Kit namens „Lighthouse“ stiehlt dabei Passwörter und Codes für die Zwei-Faktor-Authentifizierung.
Millionen Android-Nutzer sind täglich Hackern schutzlos ausgeliefert – ohne es zu wissen. Dieser kostenlose Report zeigt Ihnen, wie Sie mit den richtigen Updates Datenverlust und Malware dauerhaft verhindern. 5 einfache Schritte für Ihr Android-Smartphone
Technologiekonzerne reagieren. Google rüstet den Browser Chrome mit sogenannten Device Bound Session Credentials aus. Sie sollen den Diebstahl von Session-Cookies verhindern.
Experten raten: Prüft den Status von Behörden- oder Bankvorgängen ausschließlich über offizielle Apps oder die direkten Webseiten. Verdächtige Mails gehören sofort gelöscht.
