LKA Niedersachsen warnt vor gefälschten "eister.de"-Steuerrückzahlungsmails

In den Posteingängen von Internetnutzern landen abermals Phishing-Mails, die Opfer mit einer vermeintlichen Steuerrückzahlung ködern. Auffällig bei der aktuell laufenden Masche: Die Absender-Domain nutzt einen "Tipp-Fehler" mit "i" anstatt "l", also als Absender-Domain "eister.de".

Anzeige

Die angebliche Steuerrückzahlung kommt angeblich von der Domain "eister.de" anstatt "elster.de".

(Bild: polizei-praevention.de)

Das LKA Niedersachsen erörtert in der Warnung, dass solche Buchstabenverdreher bereits länger zum Einsatz kommen und ausnutzen, dass Empfänger sie beim flüchtigen Lesen nicht erkennen. Die konkret gezeigte E-Mail landete "bei einer Mitarbeiterin des Landesamtes für Steuern Niedersachsen, die die Fälschung natürlich sofort erkannte". Auffällig ist unter anderem auch die Frist, die bis zum 01.02.2024 läuft – hier könnten Empfänger aufmerken, da wir inzwischen im Jahr 2025 unterwegs sind.

Die E-Mail zeige als Absender zwar "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein." an, mit Mail-Spoofing wäre aber auch die Nutzung von "@elster.de" möglich gewesen – vermutlich soll das der einfacheren Umgehung etwa von Spam-Filtern dienen. In der E-Mail verbirgt sich hinter einer grünen Schaltfläche "Zum Steuerzugang" ein Link. Der lasse sich nicht einfach lesen, verweist jedoch nicht auf das originale Portal der Finanzverwaltung, elster.de.

Offenbar nutzen die Täter für das Ziel sogenannte Browserweichen, um diejenigen, die auf den Link klicken, je nach eingesetztem Browser und Betriebssystem auf unterschiedliche Seiten zu lenken. Das LKA Niedersachsen berichtet, dass die Links unter anderem etwa bezahlte Umleitungen waren, konkret Affiliate-Links etwa zu Onlineshops für Tierbedarf oder Modeartikel. Aber auch gefälschte Nachrichtenseiten zu Kryptowährungs-Anlagen seien auf manchen Systemen aufgepoppt. Auf einem Mac-System zeigte die Seite hinter dem Link die Warnung, dass der Computer von Schadsoftware betroffen sei und umgehend der Apple-Support kontaktiert werden müsse – dahinter verbirgt sich dann die Betrugsmasche mit gefälschtem Support. Auf iPhones erschien eine ähnliche Warnung.

Die Strafverfolger raten dazu, vor etwaigen Reaktionen zu prüfen, ob solch eine E-Mail plausibel ist: Haben Empfänger zuvor selbst etwas initiiert, etwa kürzlich Elster genutzt und eine Steuererklärung abgeschickt? Wer unsicher ist, sollte Links in derartigen Mails nicht klicken, sondern über das offizielle Portal auf elster.de gehen oder die reguläre App, die "MeinElster+" heißt, verwenden; mit dieser lasse sich auch der Posteingang prüfen. Das Landesamt für Steuern Niedersachsen hat zudem den Hinweis gegeben, dass Elster-Bestätigungsmails zwar Links enthalten, diese aber auf das elster.de-Portal oder auf die Elster-FAQs verwiesen.

Ende Oktober warnte die Verbraucherzentrale NRW vor einer Betrugsmasche mit Phishing-Mails, die Empfänger zur Installation einer betrügerischen Elster-App verleiten sollten. Der Betreff lautete "Ihr Digitales Zertifikat - Handlungsbedarf" , der Mail-Text drängte zur Installation der App "ElsterSecure+". Die echte App der Bundesbehörden zur Authentifizierung heißt jedoch "ElsterSecure", ohne ein Plus-Zeichen. Die Verbraucherzentrale NRW nahm an, dass die App schädlich ist und etwa auf das Telefonbuch zugreift, um Kontaktdaten zu stehlen, oder den Bildschirm überwacht und so Log-in-Daten abgreift.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)