Steuer-Phishing erreicht neue Dimension: Quishing und Smishing auf dem Vormarsch

Mit dem Höhepunkt der Steuersaison verzeichnen sie eine massive Zunahme betrügerischer Aktivitäten. Im Fokus der Angreifer: Smartphone-Nutzer, die mit täuschend echten Nachrichten über vermeintliche Steuerrückerstattungen in die Falle gelockt werden sollen.

Das Bundesfinanzministerium warnte Mitte Mai erneut eindringlich vor einer Welle gefälschter E-Mails und Textnachrichten. Kriminelle nutzen gezielt aus, dass viele Bürger im Frühjahr mit offizieller Post ihrer Finanzämter rechnen. Das Ziel ist stets dasselbe: sensible Anmeldedaten sowie Konto- und Kreditkarteninformationen abgreifen.

Da Kriminelle immer häufiger mobile Endgeräte für den Diebstahl von Bankdaten und persönlichen Informationen ins Visier nehmen, ist ein gezielter Schutz für das Handy unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Quishing umgeht Sicherheitsfilter

Eine besonders besorgniserregende Entwicklung ist das sogenannte Quishing – Phishing über QR-Codes. Sicherheitsanalysten stellten Anfang Mai fest, dass Kriminelle vermehrt QR-Codes in ihre Nachrichten integrieren. Die Methode umgeht automatisierte Sicherheitsfilter, da diese grafische Codes seltener auf schädliche Inhalte prüfen als klassische Textlinks.

Sobald Nutzer den Code mit ihrem Smartphone scannen, landen sie auf täuschend echten Portalen. Die gefälschten Webseiten sind technisch perfekt auf mobile Endgeräte zugeschnitten. Während am Desktop-Computer Unstimmigkeiten in der URL oft schneller auffallen, erschwert der kleine Bildschirm die Identifikation der Fälschung.

Die Betrüger bilden das offizielle Design des ELSTER-Portals oder des Bundeszentralamts für Steuern (BZSt) bis ins Detail nach. Verbraucherschützer beobachten zudem eine zunehmende Professionalisierung: In aktuellen Kampagnen werden korrekte Verweise auf EU-Richtlinien oder neue Gesetzesänderungen verwendet – etwa zur Kryptosteuermeldepflicht. Das soll den Eindruck legitimer behördlicher Kommunikation erwecken.

Psychologische Fallen: Rückerstattungen und Kontosperren

Die Täter setzen auf zwei hochemotionale Hebel: die Aussicht auf finanzielle Gewinne und die Angst vor rechtlichen Konsequenzen. In zahlreichen Fällen wurden E-Mails mit Betreffzeilen wie „Es wurde ein Differenzbetrag zu Ihren Gunsten festgestellt“ versendet. Den Empfängern wird suggeriert, dass Rückerstattungen in dreistelliger Höhe bereitstünden.

Um an das Geld zu gelangen, müssten Betroffene lediglich einem Link folgen und ihre Kontoverbindung bestätigen. In Wahrheit führen diese Links auf Server organisierter Gruppen. Wer dort seine Daten eingibt, riskiert nicht nur den Verlust des Guthabens, sondern ermöglicht auch Identitätsdiebstahl für weitere Straftaten.

Parallel kursieren Nachrichten, die massiven Druck aufbauen. Das Bundesfinanzministerium warnte vor einem gefälschten Schreiben mit dem Titel „Formal Notice of Final Statutory Tax Clearance“. Darin werden Bürger aufgefordert, exakt 550 Euro zu zahlen, um eine angebliche Sperrung ihres Bankkontos aufzuheben. Solche Drohszenarien führen bei vielen zu vorschnellen Handlungen – genau das Kalkül der Betrüger.

Smishing: Betrug direkt über den Messenger

Auch SMS- und WhatsApp-Nachrichten werden verstärkt für kriminelle Zwecke missbraucht. In dieser Woche häuften sich Berichte über Kurznachrichten mit dem Absender „FINANZAMT“. Darin wird behauptet, eine Steuererklärung könne ohne sofortige Verlängerung der digitalen Identität nicht erfolgen. Oder offene Forderungen müssten beglichen werden, um ein Pfändungsverfahren abzuwenden.

Im deutschsprachigen Ausland zeigen sich ähnliche Muster. Die österreichische Finanzverwaltung warnte kürzlich vor SMS-Nachrichten bezüglich einer ablaufenden FinanzOnline-ID. Diese grenzüberschreitenden Taktiken belegen: Die Angreifer arbeiten mit spezialisierten Phishing-Kits, die leicht an verschiedene Sprachen und nationale Verwaltungssysteme angepasst werden können.

Ob beim Online-Banking oder in Messenger-Diensten wie WhatsApp – ein unsicheres Smartphone kann schnell zum Einfallstor für finanzielle Schäden werden. Erfahren Sie in diesem gratis PDF-Ratgeber, wie Sie Ihr Android-Handy in wenigen Minuten so konfigurieren, dass Hacker keine Chance haben. Kostenlosen Sicherheits-Ratgeber herunterladen

Warnsignale erkennen

Trotz der hohen Professionalität gibt es eindeutige Warnsignale. Ein zentrales Merkmal ist die Anrede: Während echte Bescheide eine korrekte Anrede oder ein spezifisches Aktenzeichen enthalten, verwenden Phishing-Mails unpersönliche Formeln wie „Sehr geehrter Kunde“.

Ein weiteres Alarmsignal sind ungewöhnliche Absenderadressen. Häufig enden diese auf fremde Domains oder enthalten subtile Tippfehler. Auch die Aufforderung, Zahlungen auf Konten mit ausländischen IBANs (etwa aus Spanien oder Zypern) zu leisten, ist ein sicheres Zeichen für Betrug. Offizielle Stellen der Finanzverwaltung fordern niemals zur Übermittlung von PINs, Passwörtern oder Kreditkartendaten per E-Mail oder SMS auf.

So verhalten Sie sich richtig

Die Steuerverwaltungen betonen: Kommunikation über steuerlich relevante Vorgänge erfolgt grundsätzlich über den gesicherten ELSTER-Postkorb. Per E-Mail werden lediglich Benachrichtigungen versendet, die über das Vorliegen einer neuen Nachricht informieren – niemals Dokumente wie Rechnungen oder Bescheide als Anhang.

Bei Verdacht empfehlen Behörden und Verbraucherschützer:

• Keine Links oder QR-Codes öffnen und keine Anhänge herunterladen
• Keine persönlichen Informationen auf verlinkten Webseiten eingeben
• Die Nachricht nicht beantworten – sonst bestätigt man den Tätern, dass die Adresse aktiv ist
• Verdächtige Mails zur Analyse an offizielle Stellen wie das BZSt weiterleiten
• Im Zweifel das zuständige Finanzamt über offiziell bekannte Telefonnummern kontaktieren

Ausblick: KI macht Phishing noch gefährlicher

Sicherheitsexperten gehen davon aus, dass sich die Qualität der Angriffe weiter steigern wird. Künstliche Intelligenz bei der Texterstellung lässt sprachliche Mängel wie Grammatikfehler verschwinden – früher ein klassisches Erkennungsmerkmal. Für den Verbraucherschutz bedeutet das eine notwendige Anpassung der Aufklärungsstrategien.

Die Bedeutung von Multi-Faktor-Authentifizierung und spezialisierten Apps wie „Mein ELSTER+“ wird weiter zunehmen. Diese Systeme bieten deutlich höheren Schutz als klassische Passwörter. Doch der Faktor Mensch bleibt die wichtigste Instanz: Wachsamkeit und ein gesundes Misstrauen gegenüber dringenden digitalen Zahlungsaufforderungen sind der effektivste Schutz gegen finanziellen Schaden.

de | wissenschaft | 69344535 |