Trace Id is missing

Steuersaison und Cybersicherheit: Worauf Cyberkriminelle abzielen und wen sie am häufigsten ins Visier nehmen. Gehören Sie dazu?

Teilen
Grafische Illustration eines Laptops mit Steuerunterlagen auf dem Bildschirm, während Papierdokumente in einen Ordner namens „Steuern“ fliegen

In der heutigen Bedrohungslandschaft sind Phishingangriffe unvermeidlich. Für finanziell motivierte Bedrohungsakteure sind der Termindruck und der hektische Austausch von Formularen und Dokumenten während der Steuersaison eine verlockende Gelegenheit, Phishingkampagnen zu starten. Diese zielen auf die hochgefährdeten Daten von Millionen gestresster und abgelenkter Privatpersonen und Unternehmen ab.

Zwar kann jeder Ziel von Phishing während der Steuersaison werden, bestimmte Personengruppen sind jedoch gefährdeter als andere. Zu den primären Zielen gehören Personen, die mit den Kontaktmethoden der Steuerbehörden weniger vertraut sind: Green-Card-Inhaber, Kleinunternehmer, neue Steuerzahler unter 25 Jahren und ältere Steuerzahler über 60 Jahren.

In diesem Sonderbericht zu Bedrohungen in der Steuersaison werden in den folgenden Abschnitten die Taktiken, Techniken und Verfahren umrissen, die Bedrohungsakteure am häufigsten einsetzen.

  • Microsoft Threat Intelligence deckt Phishingkampagne für die Steuersaison 2024 auf: Erfahren Sie Näheres zu einer neuen Phishingmethode für die Steuersaison, bei der Köder verwendet werden, die wie Steuerunterlagen von Arbeitgebern aussehen.
  • Bedrohungsakteure geben sich in E-Mails als Steuerabwickler aus: Microsoft Threat Intelligence hat Bedrohungsakteure beobachtet, die fremde Logos von staatlichen Steuerabwicklern verwenden.
  • Die Ziele von Cyberkriminellen in der Steuersaison: Wir identifizieren die verschiedenen Arten von besonders gefährdeten Daten, die während der Steuersaison am häufigsten ins Visier von Kriminellen geraten.
  • Wie Cyberkriminelle an Ihre Daten gelangen: Wir beschreiben die auf die Steuersaison zugeschnittenen Social-Engineering-Techniken, die Bedrohungsakteure am häufigsten einsetzen.
  • Best Practices für Cybersicherheit in der Steuersaison: Wir stellen bewährte Methoden und umsetzbare Tipps zum Schutz vor Social-Engineering-Angriffen vor.

Microsoft Threat Intelligence hat bereits auf die Steuersaison ausgerichtete Phishingaktivitäten beobachtet, darunter eine Kampagne von Ende Januar 2024, bei der Köder verwendet wurden, die als Steuerdokumente von Arbeitgebern getarnt waren.

Die folgenden Abbildungen zeigen (1) die Köder-Phishing-E-Mail, (2) die trügerische Website und (3) die beiden ausführbaren Dateien – die Malware – aus dieser Kampagne:

Eine von Microsoft Threat Intelligence im Januar 2024 erkannte Phishing-E-Mail zum Thema Steuererklärung.
Abbildung 1: Eine Phishing-E-Mail mit HTML-Inhalt, welcher bedingt, dass Internetnutzer auf eine betrügerische Angebotsseite geleitet werden
Bildschirmfoto einer trügerischen Website
Abbildung 2: Internetnutzer wurden auf eine Seite geleitet, welche von Bedrohungsakteuren mit unscharfer Darstellung entworfen wurde. Durch diese Methodik des Social Engineerings soll die Wahrscheinlichkeit auf eine Interaktion vonseiten des Nutzers z. B. durch einen Klick erhöht werden. Sowie ein Internetnutzer der Aufforderung „Dokumente herunterladen“ nachkommt und klickt, wird Schadsoftware auf dessen Computer installiert.
Bildschirmausschnitt von einem Windows Datei-Explorer, der zwei Dateien im Programme-Ordner „deepvau“ anzeigt", Eine ausführbare Datei
Abbildung 3: Eine schädliche ausführbare Datei, deren Funktion es ist, Daten abzugreifen, wurde auf einem Zielcomputer abgelegt. Sobald die Datei ausgeführt wird, späht sie Daten aus einschließlich Anmeldeinformationen.

Bedrohungsakteure geben sich als offizielle Stellen aus

In anderen Kampagnen hat Microsoft beobachtet, wie Bedrohungsakteure in ihren E-Mails Bilder von Websites legitimer staatlicher Steuerabwickler verwendet haben, um überzeugend zu wirken.

Obwohl diese E-Mails legitim erscheinen, sollten sich Steuerzahler darüber im Klaren sein, dass offizielle Behörden wie die Bundessteuerbehörde der USA (IRS) nicht proaktiv in Bezug auf Steuerererstattung oder -zahlungen Kontakt aufnehmen, weder per E-Mail noch per SMS oder Telefonanruf.

In seltenen Fällen können Cyberkriminelle gestohlene Informationen für Steuererstattungsbetrug nutzen. Bei dieser speziellen Methode reichen die Kriminellen eine Steuererklärung im Namen der Zielperson ein und fordern eine Rückerstattung.1 Aufgrund der Sicherheitsvorkehrungen des IRS sind die Erfolgsaussichten dieses Ansatzes jedoch gering. Viel wahrscheinlicher ist, dass ein Cyberkrimineller, der während der Steuererklärungszeit auf Ihre Daten zugreift, das tut, was Cyberkriminelle das ganze Jahr über tun: Er sucht nach Möglichkeiten, diese Daten zu Geld zu machen. Dazu gehören u. a. die Registrierung einer Kreditkarte auf Ihren Namen, der Verkauf der Daten oder des Zugangs an einen anderen Cyberkriminellen, der direkte Zugriff auf Ihr Bankkonto, um eine Überweisung zu tätigen oder online Einkäufe zu tätigen.

In den Abbildungen hier unten sehen Sie (1) die Köder-Phishing-E-Mail und (2) die Website des echten Steuerabwicklers:

Eine Phishing-E-Mail, die das Bild „Autorisiert durch IRS“ aus dem Kopfteil der Website eines echten Zahlungsdienstleisters nutzt.
Abbildung 4: Eine Phishing-E-Mail nutzt ein Bild („Autorisiert durch IRS“) aus dem Kopfteil von ACI Payments Inc., einem von der Bundessteuerbehörde der USA (IRS) auf deren Website aufgeführten Zahlungsdienstleister.
Bildschirmausschnitt von einer Website, die zeigt, wie das Bild „Autorisiert durch IRS“ aus dem Kopfteil der tatsächlichen Website von ACI Payments Inc. genutzt wird
Abbildung 5: Beispielhafte Darstellung des echten Bildes „Autorisiert durch IRS“ auf der tatsächlichen Website von ACI Payments Inc.

Die Ziele von Cyberkriminellen in der Steuersaison

Während der Steuersaison werden große Mengen sensibler Finanz- und Identitätsdaten zwischen Einzelpersonen und Organisationen wie dem IRS und verschiedenen Arten von Steuerdienstleistern ausgetauscht, z. B. über Steuererklärungs- und -vorbereitungssoftware, lokale Buchhaltungs- und Steuerberatungsfirmen und Einzelunternehmer.

Zu den Daten mit dem höchsten Risiko2 zählen:

  • Identität: Sozialversicherungsnummern, Details aus Führerschein, Personalausweis oder Reisepass, Arbeitgeberkennnummern, CAF-Nummern (Centralized Authorization File)
  • Finanzkonto: Nummern von Bankkonten, Kredit- und Debitkarten (mit oder ohne erforderlichem Sicherheitscode)
  • Kennwörter und Zugang: E-Mail-Kennwörter, persönliche Geheimnummern (PINs) sowie Zugangscodes

Wes Drone, Experte für Cyberkriminalität bei Microsoft Threat Intelligence, erläutert das generelle Risiko, das von der großen Menge an persönlichen Informationen ausgeht, die in den persönlichen E-Mail-Postfächern der meisten Menschen gespeichert sind: "Die Menschen können zu regelrechten digitalen Hortern werden, was ihre E-Mail-Postfächer angeht, und die Informationen, die sie dort aufbewahren, sind für Kriminelle von unschätzbarem Wert."

Das Risiko ist jedoch nicht nur auf die Steuersaison beschränkt. Drone weist darauf hin, dass das E-Mail-Konto einer durchschnittlichen Person Korrespondenz und Dokumente aus fast allen Bereichen des persönlichen Lebens enthält, und dass die Steuersaison nur eine von vielen Gelegenheiten ist, diese zu stehlen.

"Alles Mögliche wird an Ihre E-Mail-Adresse gesandt", erklärt Drone, "und wenn ein Bedrohungsakteur Zugang zu Ihrer E-Mail-Adresse erhält, kann er die Passwörter all Ihrer anderen Konten zurücksetzen."

Das Risiko für Einzelne kann auch für Unternehmen zum Risiko werden. Laut Drone könnte ein Bedrohungsakteur, der sich Zugang zu einem E-Mail-Postfach eines Mitarbeiters verschafft, Malware in der Umgebung des Arbeitgebers installieren.

"Da geht es um alle möglichen Probleme", so Drone. "Ein ernstes Problem ist die Kompromittierung von geschäftlichen E-Mail-Konten, die es Kriminellen ermöglicht, mit Ihren Lieferanten oder Geschäftspartnern zu kommunizieren. Sie ändern einfach Rechnungsnummern, versenden gefälschte Rechnungen und leiten Geld um, und das kann kostspielig werden."

Wie Cyberkriminelle an Ihre Daten gelangen

Die von Cyberkriminellen angewandten Phishingtechniken sind nicht neu, aber sie sind nach wie vor sehr effektiv. Unabhängig von den verschiedenen Varianten führen Phishing-Angriffe auf Privatpersonen während der Steuersaison hauptsächlich zu einem von zwei Ergebnissen: dem Download von Infostealern (einer Art Trojaner-Malware) oder der Eingabe von Anmeldeinformationen auf gefälschten Zielseiten. In selteneren Fällen versuchen die Betrüger, sich Zugang zu verschaffen, um Ransomware herunterzuladen.

Phishingkampagnen während der Steuersaison versuchen, den Benutzern glaubhaft zu machen, dass die Nachrichten von legitimen Quellen stammen, wie z. B. Arbeitgeber und Personalverantwortliche, die Bundessteuerbehörde der USA (IRS), staatliche Steuerbehörden oder Anbieter von steuerbezogenen Dienstleistungen wie Buchhalter und Steuerberater (oft unter Verwendung großer, vertrauenswürdiger Marken und Logos).

Zu den üblichen Taktiken, mit denen Cyberkriminelle ihre Opfer täuschen, gehören die Fälschung von Zielseiten echter Dienste oder Websites, die Verwendung von URLs, die auf den ersten Blick korrekt erscheinen, es aber nicht sind (Homoglyph-Domänen), sowie die Anpassung von Phishing-Links an die einzelnen Nutzer.

Drone erklärt: "Der Grund, warum diese Phishingkampagnen während der Steuersaison immer noch funktionieren – und das schon seit Jahren – ist, dass niemand etwas vom Finanzamt bekommen möchte." Der Erhalt von steuerrechtlichen Nachrichten könne Angst auslösen, sobald sie den Posteingang erreichen, so Drone.

"Die Leute wollen natürlich nicht auf ihre Rückerstattung verzichten oder dass sie ihnen gestohlen wird", fährt er fort. "Kriminelle nutzen diese Ängste und Gefühle für ihr Social Engineering aus, um Sorgen zu schüren und die Bereitschaft zu erzeugen, sofort zu klicken und das zu tun, was sie tun müssen".

Obwohl Bedrohungsakteure eine Vielzahl von Ködern verwenden und sich dabei als verschiedene Organisationen ausgeben, weisen Phishing-E-Mails einige gemeinsame Merkmale auf.

  • Element A – Branding: Ein Merkmal, das Ihr Abwehrsystem schwächen soll. Kriminelle verwenden Brandings, die Sie kennen und von denen Sie erwarten, dass Sie sie zu dieser Jahreszeit sehen, wie z. B. jenes der IRS oder von Unternehmen und Diensten, die sich mit Steuerberatung befassen.
  • Element B – Emotionaler Inhalt: Die effektivsten Phishingköder sind solche, deren Botschaften Emotionen wecken. Während der Steuersaison nutzen Kriminelle sowohl Hoffnung ("Sie erhalten eine unerwartet hohe Rückerstattung") als auch Angst ("Ihre Rückerstattung wurde blockiert" oder "Ihnen droht eine hohe Strafe").
  • Element C – Dringlichkeit: Cyberkriminelle bringen Menschen oft unter dem Druck der Dringlichkeit zu Handlungen, zu denen sie sonst nicht bereit wären. Dringlichkeit bedeutet, dass das Gegenteil von dem, was Sie wollen, eintreten wird, wenn Sie nicht vor Ablauf der Frist handeln.
  • Element D – Der Klick: Ob es ein Link, eine Schaltfläche oder ein QR-Code ist – die Kriminellen wollen letztlich, dass Sie sich von Ihrem Posteingang aus auf die betrügerische Website klicken.
Ein Laptop, der beispielhaft eine Phishing-E-Mail anzeigt, um mit Symbolen auf bestimmte Teile hinzuweisen, deren Bedeutung im Artikel näher beschrieben wird.
Abbildung 6: Die mit Buchstaben versehenen Teile markieren einige typische Merkmale von Phishing-E-Mails und deren Funktionsweise.

Der beste Schutz vor Cyberkriminellen sind Wissen und Cyberhygiene. Das gilt sowohl für die Steuersaison als auch für das ganze Jahr. Wissen bedeutet Sensibilisierung für Phishing – wissen, wie Phishingversuche aussehen und was zu tun ist, wenn es zu einem solchen kommt. Gute Cyberhygiene bedeutet, grundlegende Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung für Finanz- und E-Mail-Konten zu ergreifen.

Angesichts des bevorstehenden Tax Day in den USA am 15. April haben wir hier einige zusätzliche Empfehlungen zusammengestellt, die Benutzern und Sicherheitsfachleuten dabei helfen sollen, gegenüber Bedrohungen im Zusammenhang mit Steuerfragen wachsam zu bleiben.

Sieben Möglichkeiten, sich vor Phishing zu schützen

Einem Phishingangriff auf den Leim zu gehen, kann zum Verlust vertraulicher Informationen, infizierten Netzwerken, finanziellen Forderungen, beschädigten Daten oder Schlimmerem führen.3
  • Untersuchen Sie die E-Mail-Adresse des Absenders. Ist alles in Ordnung? Ein falsches Zeichen oder eine ungewöhnliche Schreibweise kann auf eine Fälschung hindeuten.
  • Seien Sie vorsichtig bei E-Mails mit allgemeinen Begrüßungsformeln (z. B. "Sehr geehrter Kunde"), die Sie zu einer dringenden Handlung auffordern.
  • Suchen Sie nach überprüfbaren Kontaktinformationen des Absenders. Wenn Sie Zweifel haben, verwenden Sie nicht die Antwortfunktion. Beginnen Sie stattdessen eine neue E-Mail, um zu antworten.
  • Versenden Sie niemals vertrauliche Informationen per E-Mail. Wenn Sie persönliche Informationen weitergeben müssen, machen Sie es telefonisch.
  • Überlegen Sie es sich gut, bevor Sie auf unerwartete Links klicken, insbesondere wenn sie angeblich zur Anmeldung bei Ihrem Konto führen. Melden Sie sich stattdessen auf der offiziellen Website an, um auf Nummer sicher zu gehen.
  • Öffnen Sie keine E-Mail-Anhänge von unbekannten Absendern oder von Freunden, die Ihnen normalerweise keine Anhänge senden.
  • Installieren Sie einen Phishingfilter für Ihre E-Mail-Apps, und aktivieren Sie den Spamfilter in Ihren E-Mail-Konten.

Multi-Faktor-Authentifizierung (MFA) aktivieren

Möchten Sie die Wahrscheinlichkeit eines erfolgreichen Angriffs auf Ihr Konto verringern? Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA). Diese erfordert, wie der Name schon sagt, zwei oder mehr Faktoren zur Überprüfung.

Wenn Sie die MFA aktivieren, kann ein Angreifer selbst dann nicht auf Ihre Konten und privaten Daten zugreifen, wenn er Ihren Benutzernamen und Ihr Kennwort erlangt. Mehr als einen Authentifizierungsfaktor zu kompromittieren, stellt für Angreifer eine große Herausforderung dar. Denn es wird nicht ausreichen, ein Passwort zu kennen (oder zu entschlüsseln), um Zugang zu einem System zu erhalten. Mit aktivierter MFA können Sie 99,9 Prozent aller Angriffe auf Ihre Konten verhindern.4

Verwandte Artikel

99 % aller Angriffe durch grundlegende Cyberhygiene vermeidbar

Grundlegende Cyberhygiene ist nach wie vor die beste Herangehensweise, um die Identitäten, Geräte, Daten, Apps, Infrastrukturen und Netzwerke einer Organisation vor 98 % aller Cyberbedrohungen zu schützen. Lesen Sie nützliche Tipps in einem umfassenden Leitfaden.
Mehr erfahren

Betrügerische Business-E-Mails im Überblick

Matt Lundy, Experte für digitale Kriminalität, stellt Beispiele für die Kompromittierung von Geschäfts-E-Mails vor und erläutert eine der häufigsten und kostspieligsten Formen von Cyberangriffen.
Mehr erfahren

Gespeist aus Vertrauen: Social-Engineering-Betrug

Erkunden Sie eine digitale Landschaft im Wandel, in der Vertrauen gleichzeitig eine Währung und ein Sicherheitsrisiko ist. Untersuchen Sie die bei Cyberangriffen am häufigsten genutzten Social Engineering-Betrugsmaschen, und prüfen Sie Strategien, mit denen Sie Social Engineering-Bedrohungen identifizieren und neutralisieren können, die auf die Manipulation der menschlichen Natur abzielen.
Mehr erfahren

Microsoft Security folgen