Donnerstag, 8.5.2025 09:05 | IT-Security Fake: Aufforderung zur Zahlung von Verzugszinsen für Steuer 2023

Continue

Vorsicht: Ein gut gemachter Fake fordert zur Zahlung von Verzugszinsen für eine angeblich abgegebene Steuererklärung auf.

Heute Morgen fand ich die folgende E-Mail in meinem Postfach. Der erste Gedanke: Fake! Aber als Forensiker und Security-Spezialist interessiert mich natürlich, wie gut der Fake ist, denn tatsächlich: Die Story könnte stimmen und die Aufmachung ist sehr gut gemacht und es fehlen die üblichen Nachlässigkeiten wie Tippfehler usw.

FAKEBST

Was ist gut gemacht?

  • Es ist eine einigermaßen plausible Absenderadresse verwendet worden
  • Alle offiziellen Adressdaten des angeblichen Absenders stimmen (Adresse des BZSt) stimmen.
  • Die Mail enthält keine Hyperlinks, mit denen man auf zweifelhafte Seiten verlinkt oder gelockt wird.
  • Die Story stimmt oder könnte stimmen, denn tatsächlich wird es langsam Zeit, die Stuereklärung für 2023 abzugeben, wenn man einen Steuerberater beauftragt hat. Macht man sie selbst, ist der Termin bereits verstrichen und die Anordnung von Säumnisgebühren wäre plausibel.
  • Beim grafischen Header hat sich der Kriminelle richtig Mühe gegeben.

Fake1

Fake2

Und auch bei der angehängten PDF hat der Angreifer ganze Arbeit geleistet:

Fake3

  • Die Adresse und die Firmierung stimmen
  • Der Verspätungszuschlag ist steuerfrei (logisch, aber unterstreicht die "Seriosität")
  • Es gibt auf den ersten Blick plausible Bankdaten und sogar einen (mutmaßlich) funktionierenden QR-Code (hier entwertet).
  • Mit den angegebenen Kontaktdaten (poststelle@bszt.de-mail.de) oder der Telefonnummer landet sicher nicht bei einer Finanzbehörde, sondern im schlimmsten Fall beim Angreifer, der unsichere Rückfragen gerne beantwortet.

Aber was passt nicht?

  • Die Finanzbehörden stellen keine Rechnungen mit Rechnungsnummern aus.
  • Die Steuernummer oder Steuer-ID, die bei allen Zahlungen an das Finanzamt anzugeben ist, fehlt.
  • Bei Gebührenbescheiden des Finanzamtes gibt es keine Produkt- oder Artikel-Nummern.
  • Die Steuer, auf die sich die Verspätungszuschläge beziehen, ist nicht benannt (z.B. Einkommens-, Körperschafts- oder Gewerbesteuer) und es wird auch kein Zeitraum angegeben, für den der Verspätungszuschlag gilt.
  • Die Rechtsbehelfsbelehrung fehlt.
  • Das Finanzamt hat keinen Gerichtsstand und ist nicht im Handelsregister eingetragen.
  • Und das Wichtigste: Die angegebene IBAN beginnt mit "ES" und damit handelt es sich wohl um ein spanisches Bankkonto. Spätestens jetzt muss man hellhörig werden, oder?

Hättet Ihr die ganzen Ungereimtheiten auch erkannt?

Und nun? Ab in den Papierkorb. Man könnte eine Anzeige bei der Polizei erstatten, aber das wird sicher bereit erfolgt und das Konto in Spanien wird hoffentlich längst gesperrt sein. Ob man den Kriminellen erwischt, ist fraglich.

Aber wir lernen wieder etwas daraus: Augen auf beim Klicken!