Phishing

Check Point entlarvt Betrugsversuche bei Steuerrückzahlungen

Check Point entlarvt Betrugsversuche bei Steuerrückzahlungen

Betrüger nutzen QR-Codes und Scheinerstattungen für Steuer-Phishing und handeln mit sensiblen Finanzdokumenten bestohlener Kunden im Darknet

In einigen Ländern der Welt beginnt derzeit die „Steuersaison“, in der viele Bürgerinnen und Bürger ihre Steuererklärung abgeben, und Hacker machen sich das zunutze. Check Point Research (CPR) hat in diesem Zuge diverse neue Phishing-Taktiken ausgemacht, die Kriminelle nutzen, um sich an den Rückzahlungsansprüchen der Steuerzahler zu bereichern. Die Threat Intelligence-Abteilung von Check Point hat verschiedene Betrugsmethoden identifiziert, darunter QR-Code-Schwindel, gefälschte Steuererstattungsangebote und den Einsatz überzeugender Phishing-Kampagnen mit verseuchten Websites.

Neue Maschen: QR-Code-Angriffe und Scheinerstattungen

Eines der auffälligsten Beispiele für die Raffinesse dieser Betrugsversuche ist der sogenannte Steuer-QR-Code-Angriff. Hier geben sich Betrüger als Steuerbehörde aus und senden E-Mails mit angeblich behördlichen PDF-Dateien, die die Opfer darauf hinweisen, dass Dokumente auf sie warten und am Ende einen QR-Code enthalten. Dieser führt die Opfer zu bösartigen Websites, die spezifisch auf das Endgerät des Benutzers zugeschnitten sind – eine Taktik, die die Wahrscheinlichkeit eines erfolgreichen Angriffs deutlich erhöht.

Der QR-Code wird einem so genannten „bedingten Routing“ unterzogen. Der Link erkennt, wo der Benutzer mit ihm interagiert, und passt sich entsprechend an. Wer beispielsweise einen Mac verwendet, dem wird ein anderer Link angezeigt, als wenn der Benutzer ein Android-Telefon benutzt. Das Ziel ist dasselbe: die Installation von Malware auf dem Endgerät des Benutzers und der Diebstahl von Anmeldedaten. Durch die Anpassung des Ziels an die Art des Nutzerzugriffs ist die Erfolgsquote weitaus höher.

„Wir schulden Ihnen Geld“

Ein weiterer Phishing-Versuch über vermeintliche Mails vom Finanzamt wurde über iCloud-Adressen versendet – ein starker Indikator dafür, dass es sich um eine Phishing-Mail handelt. In der Betreffzeile hieß es „Wir schulden Ihnen Geld – registrieren Sie Ihre Bankdaten noch heute“. Die E-Mail führt den Benutzer über einen verseuchten Link zu einer Website, auf der er aufgefordert wird, seine Anmeldedaten einzugeben. CPR hat zudem einen florierenden Markt für sensible Steuerdokumente im Darknet entdeckt. Die Sicherheitsforscher haben Hacker beobachtet, die dort legitime W2- und 1040-Formulare verkaufen. Dabei handelt es sich um zwei wichtige Steuerdokumente, die Bürger in den USA für ihre Steuererklärung benötigen und die sensible Informationen enthalten. Diese Formulare sind authentisch und stammen von Menschen, die nichts davon wissen. Diese Dokumente werden für bis zu 75 Dollar pro Stück verkauft. Hacker bieten hier teils Mengenrabatte an, über die sich die Dokumente für lediglich 10 Dollar illegal erwerben lassen. Ein Hacker verschenkte sogar 50 der genannten 1040- und W2-Formulare.

Wiederum andere Cyberkriminelle bieten anderen Hackern Bankkonten für gefälschte Erstattungseinzahlungen an. Zum Angebot steht eine Kontonummer, auf die das Opfer die vermeintliche Erstattung einzahlen kann. Im Gegenzug schickt der Hacker das Geld an andere Hacker und kassiert einen kleinen Prozentsatz. Eine letzte Taktik ist noch beunruhigender: Hacker kaufen und verschenken Remote-Desktop-Zugriffsrechte für beliebte Steuerdienste. CPR beobachtete, wie Zugangsdaten eines Steuerdienstleistungsunternehmen, das 8.000 Kunden betreut, für 15.000 Dollar zum Verkauf standen – inklusive vollständigen Informationen über deren Erstattungen und Bankleitzahlen.

Wie man Steuer-Phishing erkennt

Steuerzahler sollten stets im Gedächtnis behalten, dass die meisten Steuerbehörden direkt per Post kommunizieren und sie daher eher nicht per E-Mail oder telefonisch kontaktieren werden. Mit der zunehmenden Verbreitung von KI-generierten Phishing- und Malware-Kampagnen kann es jedoch fast unmöglich werden, legitime von illegitimen Anrufen zu unterscheiden.

Trotzdem gibt es einige Tricks, um Phishing-E-Mails zu erkennen:

  • Ungewöhnliche Anhänge: Nutzer sollten skeptisch bei E-Mails mit verdächtigen Anhängen wie ZIP-Dateien oder Dokumenten sein, die die Aktivierung von Makros erfordern.
  • Falsche Grammatik oder Tonfall: Obwohl die KI die Qualität von Phishing-E-Mails verbessert hat, können Unstimmigkeiten in Sprache oder Tonfall immer noch ein Warnsignal sein.
  • Verdächtige Aufforderungen: Jede E-Mail, die nach vertraulichen Informationen fragt oder ungewöhnliche Forderungen stellt, sollte mit Skepsis behandelt werden.

Um sicher zu bleiben, lohnt es sich zudem, folgende Tipps zu beherzigen:

  • Nicht mit verdächtigen Mails interagieren: Auf ungewöhnliche Mails sollte man nicht antworten, nicht auf die enthaltenen Links klicken und keine Anhänge öffnen. Auf eine verdächtige E-Mail eingehen – in welcher Form auch immer – erhöht nur das Risiko von Datenverlust und Infiltration durch Hacker.
  • Melden und löschen: Wer verdächtige E-Mails vor dem Löschen meldet, kann andere davor schützen, Opfer ähnlicher Betrügereien zu werden.
  • In Anti-Phishing-Lösungen investieren: Tools zur Überwachung von Mail-Verkehr können umfassenden Schutz vor Phishing-Versuchen gewährleisten und digitale Kommunikation absichern.

Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Research **, kommentiert:

„Wir beobachten derzeit, wie sich ein Sturm des Steuerbetrugs zusammenbraut. Hacker nutzen KI, fortschrittliche Phishing-Methoden und sogar QR-Codes, um Menschen um ihre hart verdienten Steuerrückzahlungen zu bringen. Außerdem werden im Dark Web Steuer- und Finanzdokumente zum Verkauf angeboten. Hacker versuchen mit diesen, im Namen anständiger Bürger Steuererklärungen abzugeben, um deren Rückerstattungen zu stehlen. Wir von Check Point Research raten dringend dazu, wachsam zu sein, seine Steuern frühzeitig einzureichen und daran zu denken, dass die meisten Steuerbehörden direkt per Post kommunizieren – nicht per E-Mail, Telefon oder SMS.“