Aktuell gebe es eine auffällige Häufung von Mail-Attacken mit gefälschten Steuerbescheiden, berichtet die Verbraucherzentrale NRW unter Verweis auf den von ihr betriebenen Phishing-Radar. Per E-Mail kündigen die Betrüger dabei Steuerrückzahlungen von mehreren hundert Euro an. Als vorgeblicher Absender der Phishing-Mails firmiert das Bundeszentralamt für Steuern (BZSt), das Finanzamt oder eben ELSTER. Doch wer die in der Mail verlinkte Webseite aufruft, um einen Antrag auf Rückerstattung der Steuergelder auszufüllen, geht in die Falle.
Sämtliche abgefragten Daten gehen dann direkt und unverschlüsselt an die Betrüger. Auf ihren Internetseiten warnen auch die Finanzbehörden vor der Betrugsmasche: „Die Steuerverwaltung wird in einer E-Mail niemals Informationen, wie die Steuernummer, Kontoverbindungen, Kreditkartennummern, PIN oder die Antwort auf Ihre Sicherheitsabfrage, anfordern.“
Vorsicht ist insbesondere vor mitunter angehängten Dateien geboten, die mit Schadprogrammen oder einer Spionage-Software infiziert sein können. Anti-Viren-Programm, Betriebssystem und Browser sowie andere Sicherheitsmaßnahmen des heimischen Netzwerks sollten deshalb immer auf dem aktuellen Stand sein.
Der Rat der Verbraucherzentrale NRW: Wer unerwartet eine Mail der Steuerbehörde erhält, sollte auf keinen Fall auf den Link klicken oder Datei-Anhänge öffnen. Ob die Mail echt sei, könne mit einer Nachfrage bei der zuständigen Finanzbehörde eruiert werden.
Auch das BZSt warnt ausdrücklich davor, auf solche oder ähnliche E-Mails zu reagieren. Steuererstattungen müssen nicht per E-Mail beantragt werden und Kontenverbindungen werden vom BZSt nie in dieser Form abgefragt.
Wer darüber hinaus beim Kampf gegen das Abgreifen von Daten mithelfen will, kann verdächtige E-Mails an das Phishing-Radar der Verbraucherzentrale NRW unter der Mailadresse phishing@verbraucherzentrale.nrw weiterleiten. Seit dem Start im Jahr 2010 wurden dort bereits über 400.000 Mails gemeldet, mehr als 15.000 betrügerische Internetseiten konnten gesperrt werden.
Quelle: Pressemitteilung der Verbraucherzentrale NRW v. 01.06.2017
Unter dem Begriff Phishing (Neologismus von fishing, engl. für ‚Angeln‘) versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden.
Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird. Der Begriff ist ein englisches Kunstwort, das sich an fishing (Angeln, Fischen), bildlich das Angeln nach Passwörtern mit Ködern, anlehnt. Die Schreibweise mit Ph- entstammt dem Hacker-Jargon (vgl. Phreaking).
Phishing-Webseite: Sie sieht aus wie die Seite einer Sparkasse, ist jedoch eine vom Phisher präparierte Webseite. Der Klick auf die Schaltfläche in der Mitte würde den nichts ahnenden Besucher auffordern, persönliche Daten einzugeben, die der Phisher dann abfängt.
Typisch ist dabei die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank. Um keinen Verdacht zu erregen, wird das Corporate Design der betroffenen Stelle nachgeahmt, so werden etwa dieselben Firmenlogos, Schriftarten und Layouts verwendet. Der Benutzer wird dann auf einer solchen gefälschten Seite etwa dazu aufgefordert, in ein Formular die Login-Daten oder auch Transaktionsnummern für sein Onlinebanking einzugeben. Diese Daten werden dann an den Betrüger weitergeleitet und dazu missbraucht, das Konto zu plündern.
Quelle: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 28. März 2017