{"id":33433,"date":"2026-04-28T12:52:03","date_gmt":"2026-04-28T10:52:03","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33433"},"modified":"2026-04-28T12:52:03","modified_gmt":"2026-04-28T10:52:03","slug":"income-tax-phishing-bait","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/income-tax-phishing-bait\/33433\/","title":{"rendered":"Steuererkl\u00e4rungen ohne Phishing, Betrug und Malware"},"content":{"rendered":"

In vielen L\u00e4ndern m\u00fcssen Einkommensteuererkl\u00e4rungen traditionell im Fr\u00fchling abgegeben werden. Die damit verbundenen Dokumente sind eine echte Goldgrube f\u00fcr B\u00f6sewichte<\/a>. Sie enthalten eine F\u00fclle pers\u00f6nlicher Daten \u00fcber berufliche Laufbahn, Einkommen, Verm\u00f6gen, Bankkontodaten und vieles mehr. Keine \u00dcberraschung also, dass Betr\u00fcger in dieser Zeit besonders aktiv werden. Und so wimmelt es auch jetzt wieder von gef\u00e4lschten Websites, die den Seiten von Steuerbeh\u00f6rden und anderen staatlichen Einrichtungen t\u00e4uschend \u00e4hnlich sehen.<\/p>\n

Da die Zeit dr\u00e4ngt und noch Berge von Belegen und Rechnungen eingeordnet werden m\u00fcssen, kommt es h\u00e4ufig zu Unachtsamkeit. In der Eile wird leicht \u00fcbersehen, dass eine Website, auf der man seine Finanzdaten eingibt, gar nichts mit dem Finanzamt zu tun hat, oder dass eine heruntergeladene Datei, die angeblich von einem Steuerberater stammt, in Wirklichkeit Malware enth\u00e4lt.<\/p>\n

Wir erkl\u00e4ren, wie solche betr\u00fcgerischen Websites von \u201eSteuerbeh\u00f6rden\u201c in verschiedenen L\u00e4ndern funktionieren und was du unbedingt vermeiden solltest. Andernfalls sind dein Geld und deine sensiblen Informationen in h\u00f6chster Gefahr.<\/p>\n

Angeln nach Steuerdaten<\/h2>\n

Auch in diesem Fr\u00fchjahr haben Angreifer in zahlreichen L\u00e4ndern Websites von Steuerbeh\u00f6rden gef\u00e4lscht. Darunter die Seiten offizieller Beh\u00f6rden aus Deutschland, Frankreich, \u00d6sterreich, der Schweiz, Brasilien, Chile und Kolumbien. Auf diesen betr\u00fcgerischen Websites stehlen Kriminelle pers\u00f6nliche Daten und Anmeldeinformationen f\u00fcr legitime Dienste. Oder sie versprechen Steuerverg\u00fcnstigungen und hoffen, dass leichtsinnige Opfer ihre Kreditkartendaten eingeben. In manchen F\u00e4llen verlangen sie sogar eine Geb\u00fchr f\u00fcr die hinterlistigen Dienstleistungen.<\/p>\n

\"Gef\u00e4lschte<\/a>

Diese Website ahmt die chilenische Steuerbeh\u00f6rde nach. Das Opfer soll seine Kreditkarteninformationen eingeben, um eine Steuerr\u00fcckerstattung zu erhalten: umgerechnet etwa 375 US-Dollar. Stattdessen wird das Geld vom Konto des Opfers abgebucht und direkt an die Betr\u00fcger \u00fcberwiesen<\/p><\/div>\n

Zur Taktik geh\u00f6ren manchmal auch Beschuldigungen, die von gef\u00e4lschten Beh\u00f6rden erhoben werden. Auf der folgenden Abbildung informiert beispielsweise der \u201eLeiter der Steuerpr\u00fcfung\u201c aus Paris das Opfer \u00fcber unvollst\u00e4ndige Einkommensangaben. Um einer Strafe zu entgehen, soll der Nutzer ein Dokument herunterladen und Korrekturen vornehmen. Und zwar m\u00f6glichst schnell. Die PDF-Datei enth\u00e4lt jedoch etwas viel Schlimmeres: Malware.<\/p>\n

\"Gef\u00e4lschtes<\/a>

Statt eines offiziellen Dokuments der franz\u00f6sischen Steuerbeh\u00f6rde wird dem Nutzer eine PDF-Datei mit Malware untergeschoben<\/p><\/div>\n

In Kolumbien fordert die \u201eNationale Steuer- und Zollbeh\u00f6rde\u201c (Vorsicht Fake!) die Nutzer zum Download von Dokumenten auf, die dann \u201emit einem Sicherheitsschl\u00fcssel entsperrt\u201c werden sollen. Tats\u00e4chlich ist es aber ein passwortgesch\u00fctztes ZIP-Archiv mit b\u00f6sartigem Inhalt.<\/p>\n

\"Gef\u00e4lschte<\/a>

Wenn der Nutzer das Passwort eingibt, wird ein sch\u00e4dliches Archiv ge\u00f6ffnet und das Ger\u00e4t wird infiziert<\/p><\/div>\n

Unsere Experten entdeckten nicht nur Phishing-Websites, die legitime Ressourcen imitieren. Sie fanden auch falsche Websites, die kostenpflichtige Dienste f\u00fcr das Ausf\u00fcllen und Pr\u00fcfen von Steuerdokumenten versprechen\u00a0\u2013 und stattdessen wertvolle Daten stehlen, z.\u00a0B. brasilianische Steueridentifikationsnummern (TIN).<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Brasilien:\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tBrasilien: Betr\u00fcger bieten Hilfe bei der Steuererkl\u00e4rung an. Zur Kontaktaufnahme muss der Nutzer in einem speziellen Formular Name, Telefonnummer, Adresse, Geburtsdatum, E-Mail-Adresse und Steuer-ID eintragen. Wenn Opfer ihre TIN preisgeben, k\u00f6nnen Kriminelle Kreditbetrug begehen, Benutzerkonten bei Beh\u00f6rden \u00fcbernehmen und andere Social-Engineering-Angriffe ausf\u00fchren\n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Brasilien:\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tEine weitere betr\u00fcgerische Website f\u00fcr Brasilien. Die Angreifer behaupten, im Namen von Kunden j\u00e4hrlich 60 Millionen Steuererkl\u00e4rungen einzureichen. Das w\u00e4ren unglaubliche 28 % der brasilianischen Bev\u00f6lkerung\n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

Steuerfreie Krypto-Gewinne<\/h2>\n

Angreifer haben bekanntlich eine besondere Vorliebe f\u00fcr Krypto-Besitzer. Ein gef\u00e4lschtes Online-Finanzamt verlangt, dass Wallet-Besitzer ihre \u201eKryptow\u00e4hrungsbest\u00e4nde digital best\u00e4tigen\u201c, und verweist dabei auf EU-Steuervorschriften. Nat\u00fcrlich hat die falsche ELSTER auch eine \u201egute Neuigkeit\u201c parat: Sie behauptet, Krypto-Einnahmen seien steuerfrei! Um diesen willkommenen Vorteil zu genie\u00dfen, m\u00fcssen die Nutzer jedoch eine \u201eBest\u00e4tigung\u201c abgeben. Auch an Sicherheit ist gedacht: Die Daten werden angeblich mit dem Protokoll \u201e2048-Bit SSL\u201c verschl\u00fcsselt.<\/p>\n

Zum Abschluss der Best\u00e4tigung werden die Nutzer aufgefordert, ihre Seed-Phrase einzugeben\u00a0\u2013 eine eindeutige Kombination aus W\u00f6rtern, die mit einem Krypto-Wallet verkn\u00fcpft ist und der vollst\u00e4ndigen Wiederherstellung dient. Die Abfrage ist mit einer Drohung verbunden: Eine Verweigerung der Datenbereitstellung kann empfindliche rechtliche Konsequenzen nach sich ziehen. Etwa eine Geldbu\u00dfe von bis zu einer Million Euro oder strafrechtliche Verfolgung.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"F\u00e4lschung\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tIn einer Mitteilung auf dem gef\u00e4lschten ELSTER-Portal wird behauptet, dass Krypto-Einnahmen nach der \u201eBest\u00e4tigung\u201c steuerfrei seien \u2013 und dass das \u201eFinanzamt\u201c keinen direkten Zugriff auf die Wallets der Nutzer habe. Wie klingt das? \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"F\u00e4lschung\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tZuerst werden die pers\u00f6nlichen Daten des Nutzers eingeholt...\n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"F\u00e4lschung\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\u2026 dann soll der Nutzer angeben, wie er seine Kryptobest\u00e4nde verwahrt: in einem Krypto-Wallet oder bei einer Kryptob\u00f6rse. Die Angreifer haben es auf Ledger, Trezor, Trust Wallet, BitBox02, KeepKey, MetaMask, Phantom und Coinbase abgesehen\n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"F\u00e4lschung\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tSchlie\u00dflich soll das Opfer seine Seed-Phrase eingeben. Dadurch erhalten die Kriminellen die vollst\u00e4ndige Kontrolle \u00fcber das Wallet. Aus F\u00fcrsorglichkeit warnen die Angreifer das Opfer sogar, sich zu vergewissern, dass ihnen bei der Eingabe niemand zuschaut. Gleichzeitig drohen sie dem Opfer mit fiktiven Strafen, falls die Daten nicht bereitgestellt werden\n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

Mit einem \u00e4hnlichen Trick wurde auch versucht, franz\u00f6sische Nutzer hereinzulegen. Die Angreifer erstellten ein ebenfalls fiktives \u201ePortal f\u00fcr steuerliche Konformit\u00e4t im Kryptobereich\u201c. Das Design ist der Seite des franz\u00f6sischen Ministeriums f\u00fcr Wirtschaft, Finanzen und digitale Souver\u00e4nit\u00e4t nachempfunden. Die Phishing-Website fordert Einwohner von Frankreich sehr nachdr\u00fccklich dazu auf, eine \u201eDeklaration digitaler Verm\u00f6genswerte\u201c abzugeben.<\/p>\n

Zuerst werden pers\u00f6nliche Daten abgefragt. Dann soll der Nutzer entweder die Seed-Phrase eintippen oder das Krypto-Wallet mit dem Portal \u201everlinken\u201c. Wenn er dies tut, ist es um sein Kryptoguthaben geschehen. Ziele sind hier Wallets von MetaMask, Binance, Coinbase, Trust Wallet und WalletConnect.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Phishing-Website,\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tDie Phishing-Website fordert Einwohner von Frankreich in aggressivem Ton auf, eine \u201eDeklaration digitaler Verm\u00f6genswerte\u201c auszuf\u00fcllen (Klartext: Die Betr\u00fcger wollen dein Krypto-Konto stehlen)\n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Phishing-Website,\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tNachdem der Nutzer seine personenbezogenen Daten eingegeben hat, soll er entweder seine Seed-Phrase eingeben oder seine Wallet mit dem Portal \u201everlinken\u201c\n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

Kann KI bei der Steuererkl\u00e4rung helfen?<\/h2>\n

Text generieren und Tabellen ausf\u00fcllen\u00a0\u2013 alles kein Problem f\u00fcr die KI. Warum sollte man den langweiligen B\u00fcrokram nicht einfach der KI \u00fcberlassen? Die Versuchung ist gro\u00df. Leider k\u00f6nnen die Folgen gravierend sein. Erstens verarbeiten alle g\u00e4ngigen Chatbots die eingegebenen Daten auf ihren Servern. Risiko: Deine vertraulichen Informationen k\u00f6nnten durchsickern. Zweitens macht KI manchmal ganz t\u00f6richte Fehler, die zu \u00c4rger mit dem Finanzamt f\u00fchren k\u00f6nnen.<\/p>\n

Bevor du einem Chatbot oder einem KI-Agenten erz\u00e4hlst, wie viel Geld du im letzten Jahr verdient hast, und ihm pers\u00f6nliche Informationen und Bankdaten \u00fcberreichst, solltest du daran denken, wie h\u00e4ufig bei KI-basierten Diensten Datenlecks auftreten. Dieses Risiko sollte keinesfalls unter den Tisch gekehrt werden. Du solltest dein Einkommen nicht mit der KI besprechen. Behalte pers\u00f6nliche Daten (Name, Adresse usw.) f\u00fcr dich. Und lade niemals Fotos oder Nummern wichtiger Dokumente hoch (Personalausweis, Versicherungsdaten oder Sozialversicherungsnummer). Dateien, in denen sich vertrauliche Informationen befinden, sollten in verschl\u00fcsselten Containern aufbewahrt werden, z. B. mit Kaspersky Password Manager<\/a>.<\/p>\n

Wenn du trotzdem KI-Tools verwenden m\u00f6chtest, f\u00fchre sie lokal aus. Dies ist auch auf einem gew\u00f6hnlichen Laptop kostenlos m\u00f6glich. Am Beispiel von DeepSeek<\/a> haben wir bereits erkl\u00e4rt, wie man lokale Sprachmodelle einrichtet. Zugegeben, die Antwortqualit\u00e4t lokaler Modelle l\u00e4sst oft zu w\u00fcnschen \u00fcbrig. Es kann auch sein, dass die manuelle \u00dcberpr\u00fcfung einer KI-generierten Antwort l\u00e4nger dauert, als den Papierkram gleich von Hand zu erledigen. Nicht zu vergessen: Bei Fehlern bist du gegen\u00fcber dem Finanzamt verantwortlich, nicht der KI.<\/p>\n

Vorsicht auch bei KI-Modellen, die \u201eUnterst\u00fctzung\u201c bei der Steuererkl\u00e4rung anbieten, in Wirklichkeit aber nur Phishing im Sinn haben. Kaspersky-Experten haben Websites entdeckt, auf denen Nutzer aufgefordert werden, steuerlich relevante Dokumente hochzuladen. Diese Fake-Dienste versprechen, Steuererkl\u00e4rungen automatisch zu erstellen und R\u00fcckzahlungen zu berechnen. Dabei sammeln Angreifer jedoch personenbezogene Daten\u00a0\u2013 zum Verkauf im Darknet<\/a> oder f\u00fcr k\u00fcnftige Phishing-Angriffe, Erpressungen und Drohungen<\/a>.<\/p>\n

\"Phishing-KI<\/a>

Ein betr\u00fcgerisches KI-Tool fordert die Nutzer auf, Steuerdokumente hochzuladen. Es wird versichert, dass die Website keine Benutzerdaten speichert. Tats\u00e4chlich landen s\u00e4mtliche eingegebenen Informationen in den H\u00e4nden von Cyberkriminellen \u2013 Name, Adresse, Dokumente, Kontaktperson und Telefonnummer<\/p><\/div>\n

Noch ein wichtiger Punkt: Legitime KI-Dienste warnen ihre Nutzer ausdr\u00fccklich davor, vertrauliche Daten zu teilen. Und Steuerdokumente fallen eindeutig in diese Kategorie. Deshalb sind alle KI-Tools, die versprechen, dir bei der Steuererkl\u00e4rung zu helfen, ganz einfach Betrug.<\/p>\n

So kannst du dich und deine Daten sch\u00fctzen<\/h2>\n