RATGEBER INTERNETKRIMINALITÄT

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Search in posts
Search in pages

Steuerrückzahlung für 2024 Aufforderung in Mail von eister.de

Cyberkriminelle locken mit Steuerrückzahlung für 2024 und verschicken Mail von eister.de. Dabei nutzen die Täter i statt l und hoffen, dass der optische Trick nicht auffällt.

Richtigerweise heisst es ELSTER und nicht eister. Diese Abkürzung steht für „Elektronische Steuererklärung“. Cyberkriminelle haben in diesem Falle aber einen kleinen Trick verwendet. Statt des Buchstabens „L“ in Elster nehmen sie ein großes i (also I), welches wiederum als Großbuchstabe für ein kleines L (also l)  gehalten werden kann. Oder erkennen Sie beim flüchtigen Drüberlesen sofort den Unterschied zwischen l und I? Diese Art, Links zu Webseiten optisch ähnlich aussehende Buchstaben für kriminelle Zwecke zu verändern, gibt es schon länger. Auch typische Schreibfehler, Buchstabendreher, zusätzliche Buchstaben sind denkbar. Jedoch besteht die Gefahr für die Täter, dass es auch beim richtigen Hinschauen oder durch eine andere Darstellung (z.B. andere Schriftart, nur Kleinschreibung wie hier das kleine „i“usw.) doch mal schneller auffällt. Erhält man eine solche Mail (wie gleich im weiteren Verlauf gezeigt) jedoch auf dem Smartphone, kann der Fehler auch mal übersehen werden.

Unser Beispiel der Phishingmail landete in diesem Fall bei einer Mitarbeiterin des Landesamtes für Steuern Niedersachen, die die Fälschung natürlich sofort erkannte. Da wir erst vor einigen Monaten vor gefälschter Briefpost von angeblichen Finanzämtern warnten (https://www.polizei-praevention.de/aktuelles/gefaelschter-steuerbescheid-per-briefpost.html) bekamen wir diesen Hinweis direkt vom Landesamt für Steuern.

Bisher liegt uns nur diese eine Version vor:

Phishinmail mit Verwendung des ELSTER Logos
Phishingmail mit Verwendung des ELSTER Logos

Als Absender sieht man hier „“, also wie oben beschrieben mit i, statt mit l. Dies fällt hier relativ schnell auf, wenn man es auch entsprechend beachtet. Rein theoretisch hätten die Täter sogar elster.de verwenden können. Das sogenannte Mail-ID-Spoofing, also als Absender eine andere Adresse einzutragen, hätte dies ermöglicht.
Der eigentliche Link zum Anklicken ist hinter dem grünen Balken „Zum Steuerzugang“ verborgen. Dieser ist dagegen nicht so einfach zu lesen. Jedoch fällt auch dort auf, dass dieser nicht zum originalen Portal elster.de.

Je nach genutztem Browser und Computer führte der Link zu diversen Webseiten, aber auch zu Fehlermeldungen, dass die Seite nicht erreichbar/geschaltet sei. Vereinzelt erhielten wir bezahlte Umleitungen (Affiliate-Marketing) zu Onlineshops (Tierbedarfzubehör, Mode usw.). Auch eine Umleitung zu falschen Newsseiten über Cryptowerte-Anlagen war dabei, wie wir hier in unserer Warnmeldung zur Masche berichten. Als wir diese auf einem Mac öffneten, bekamen wir den Hinweis, der Computer sei durch Schadsoftware belastet und man müsse sofort den Apple-Support kontaktieren, was natürlich auch eine Fälschung ist und zu der Masche mit dem gefälschten Microsoft-Support gehört. Auf einem iPhone wurde im Browser eine vergleichbare Warnung angezeigt. Auch eine Warnung bezüglich Malware wurde gezeigt. Dabei blockte der genutzte Webbrowser das Aufrufen der Webseite bereits im Vorfeld aus Sicherheitsgründen.

Beipiel der gefälschten Seiten nach dem Anklicken (hier auf Apple Mac und iPhone):

Gefälschte iOS Warnung
Gefälschte iOS Warnung
Gefälschte Apple Support Warnung
Gefälschte Apple Support Warnung
Gefälschte Apple Support Warnung
Gefälschte Apple Support Warnung

(Diese Warnmeldung konnte übrigens durch das Schließen des betroffenen Tabs im Browser beendet werden. Sollte dies auf Ihrem Computer nicht funktionieren, so beenden Sie beispielsweise den Browser mittels Taskmanager (bei Windows die drei Tasten Strg Alt Enft gleichzeitig drücken und den betroffenen Task schließen.))

Ob hier die Täter noch fehlerhafte Umleitungen laufen haben, die Fälschung ggf. noch nicht korrekt programmiert ist, die Umleitungen so sogar beabsichtigt sind oder eine geplante Phishingseite bereits wieder entfernt wurde, können wir aktuell nicht sagen.

Generelle Hinweise:

Sollten Sie eine Mail im Aussehen von ELSTER bekommen haben, dann haben Sie diezbezüglich zuvor auch etwas selbst initiiert (z.B. gerade Elster genutzt und Ihre Steuererklärung abgeschickt). Sollten Sie unsicher sein, so klicken Sie niemals auf einen Link einer solchen Mail. Nutzen Sie die Ihnen bekannte und echte Adresse www.elster.de bzw. https://www.elster.de/eportal/start . Alternativ steht Ihnen auch die offizielle App MeinELSTER+ vom bayerischen Landesamt für Steuern zur Verfügung. Dort können Sie auch Ihren Posteingang prüfen.

In Formularen von Elster werden Sie nicht auf diese Weise (siehe oben) kontaktiert. Lesen Sie in Ruhe den gezeigten Absender. Ggf. können Sie dort bereits die Fälschung erkennen.

Das Landesamt für Steuern Niedersachsen hat uns auch noch folgende Hinweise mitgeteilt:

„Nach dem Absenden von erfassten Steuererklärungen in ELSTER erhalten die Nutzerinnen und Nutzer eine Bestätigungsmail.
Die Bestätigungsmail enthält zwar Links; hierbei handelt es sich aber nur um Links zum Portal bzw. zu den ELSTER-FAQ´s.
Sicherheitshinweise zu ELSTER veröffentlicht die Steuerverwaltung im Internet unter: https://www.elster.de/eportal/infoseite/sicherheit_(allgemein)

Da nicht gesagt werden kann, was sich hinter dem falschen Link verbirgt, sollten Sie generell vorsichtig sein. Übermitteln Sie keine sensiblen/persönlichen Daten auf Ihnen unbekannten Webseiten. Geben Sie keine Zahlungsdaten von sich auf solchen Seiten bekannt. Installieren Sie keine Zusatzsoftware, wenn Ihnen die Quelle unbekannt ist (siehe z.B. iPhone-Warnmeldung) oder rufen Sie keine Hotline zu angeblich gesperrten Computern an. Lassen Sie sich nicht zu Verknüfpungen/Einloggen zum Onlinebanking verleiten! Auch ein Fernzugriff auf Ihren Computer sollten Sie keinesfalls zulassen. Laden Sie keine Programme, die Ihnen vorgegeben werden. Auch Schadsoftware wäre denkbar.

Ich bin auf die Masche hereingefallen. Was soll ich tun?

Sollten Sie auf diese Masche hereingefallen sein, so informieren Sie unverzüglich die Stellen, deren Daten Sie auf den gefälschten Seiten übertragen haben (z.B. bei Bankdaten Ihre zuständige Bank, bei Finanzamtdaten Ihr zuständiges Finanzamt usw.). Erstatten Sie auch Anzeige bei Ihrer örtlich zuständigen Polizei oder über Ihre Onlinewache.
Nutzen Sie zusätzlich Ihre aktuelle Antivirensoftware und prüfen Sie ausführlich Ihren Computer auf Schadsoftware.

Scroll to top