Tax Season Cyber Scams in 2026: What the IRS Is Warning About and What Security Teams Are Seeing
Inhaltsübersicht
Warum sind Steuerbetrüger in dieser Saison so omnipräsent? Und was sagt das über den Zustand der Online-Sicherheit aus?
Während sich die Steuersaison dem Ende zuneigt, werden die nordamerikanischen Postfächer mit betrügerischen E-Mails überschwemmt. Von Phishing-Versuchen über Ransomware bis hin zu gezielten Angriffen - steuerbezogene Cybersecurity-Betrügereien sind eine Bedrohung von höchster Priorität, die zu Risiken wie dem Verlust von Zugangsdaten, Identitätsdiebstahl und Finanzbetrug führen kann.
Was die CybelAngel-Analysten in dieser Steuersaison gesehen haben
Die Cybersecurity-Analysten von CybelAngel untersuchen und überwachen täglich Tausende von Warnmeldungen und haben so einen detaillierten Überblick über die Angriffsfläche von Bedrohungen, die diese Steuersaison prägen.
Between January and April 2026, the IRS Criminal Investigation division reported a 111.8% surge in identified tax fraud compared to the prior fiscal year, with total fraud reaching $4.5 billion according to IT Solutions of South Florida’s April 2026 security briefing. Microsoft Threat Intelligence observed a large-scale phishing campaign on February 10, 2026, sent to more than 29,000 users across 10,000 organisations, with 95% of targets based in the United States and financial services accounting for 19% of recipients. 17% of US adults reported encountering a tax-related scam in 2025, meaning nearly one in five taxpayers were directly targeted according to research published in March 2026.
This increase was expected and predicted by the US Internal Revenue Service (IRS) which warned taxpayers and businesses to watch out for common schemes and scams that threaten the leak of their tax and financial data. To this end, the IRS has published a list of the dozen most relevant cyberattacks that taxpayers should be aware of in 2025. This list prioritises phishing emails, fake tax preparer companies, and social media fuelled scams.
Nach Angaben der IRS Dirty Dozen 2026 announcement published April 3 2026, IRS impersonation by email and text is the number one threat this filing season, with scammers using alarming language and QR codes directing taxpayers to fake IRS websites to verify accounts, enter personal information or claim refunds.
1. Phishing-Angriffe und Betrügereien mit IRS-Identität
Seit Anfang dieses Jahres wurde über verschiedene Arten von Phishing-Kampagnen berichtet. Viele von ihnen enthalten rote Fahnen, wie z. B. die Identität von Steuerfachleuten, des Finanzamtes und von rechtlichen Hinweisen.
Microsoft Threat Intelligence identified a broader IRS-themed phishing wave in February 2026 that targeted more than 29,000 users across 10,000 organisations, with attackers impersonating the IRS and claiming that irregular tax returns had been filed under recipients’ Electronic Filing Identification Numbers. The campaign specifically targeted accountants and tax preparers — the exact roles with access to the most sensitive financial data. Emails delivered malicious QR codes and fake W-2 documents to organisations in manufacturing, retail and healthcare.
Die Imitation der IRS-Website ist ebenfalls eine beliebte Technik, die von Angreifern in dieser Zeit eingesetzt wird. Diese E-Mail-Betrügereien sind oft mit Domänen verknüpft, die leichte Rechtschreibfehler, zusätzliche Zeichen oder ungewöhnliche Domänenerweiterungen wie ".xyz", ".info" oder ".top" aufweisen, die nur geringfügig von den offiziellen IRS-Domänen abweichen. Eine schwer zu erkennende rote Flagge.
Sobald sie angeklickt werden, leiten sie die Opfer oft auf gefälschte IRS-Portale um, um die Betroffenen zur Angabe von sensiblen Finanzinformationen, Sozialversicherungsnummern, Passwörtern und anderen vertraulichen Daten zu verleiten. Nach Angaben der Cybersicherheitsforscherim Januar 2025, mindestens 158 neue und einzigartige Domains erstellt, die dem Muster von "irs.gov" folgten und versuchten, sich als die legitime Steuerbehörde auszugeben. Außerdem wurden fast 3.500 Domänen wurden in diesem Zeitraum als böswillig oder als für Phishing-Angriffe verwendet gemeldet.
So how is AI making tax scams harder to detect in 2026?
Generative AI has fundamentally changed what tax phishing looks like. Where scam emails once arrived with obvious spelling errors and awkward formatting, AI now produces communications that mirror the exact tone, branding and language of the IRS, state tax agencies or popular tax software providers — making them effectively indistinguishable from legitimate communications without technical verification. Voice phishing has become an equally serious concern, with criminals using AI voice-cloning tools to generate audio that sounds like a known accountant, executive or IRS representative. A business owner may receive a voicemail that sounds exactly like their CPA asking them to confirm banking details before a filing deadline. Once they call back, they reach a scripted operation designed to extract sensitive information in real time.
2. Datenlecks in der Steuersaison
Neben Website- und IRS-Imitaten gab es auch einen Anstieg bei anderen Formen von Steuerbetrug wie Smishing- und Vishing-Kampagnen, bei denen Cyberkriminelle SMS und Telefonanrufe nutzen, um Phishing-Angriffe durchzuführen, die besonders nützlich sind, um die Mehrfaktor-Authentifizierung zu umgehen.
Diese Methoden wurden auch verwendet, um Malware und Viren zu verbreiten, die sich vertikal und horizontal in einem Computernetz ausbreiten und so zu weiteren sensiblen Datenlecks führen.
Im Februar 2025 beobachtete Microsoft die Latrodectus-Malware-Kampagne, die mit Phishing-E-Mails im Stil der US-Steuerbehörde IRS auf US-Steuerzahler abzielte.
Bei der Lactodectus-Malware-Kampagne, die erstmals 2023 auftauchte, handelt es sich um eine Malware, die über einen PDF-Anhang in Phishing-E-Mails verbreitet wird. Laut einer Microsoft-Veröffentlichung wurden im ersten Quartal mehrere Tausend amerikanische E-Mail-Adressen von der cyberkriminellen Gruppe Storm-0249 angegriffen. Storm-0249 ist ein Access Broker, der seit 2021 aktiv ist und für mehrere katastrophale Malwares wie die Bumblebee- und die BazaLoader-Malware verantwortlich gemacht wird, die zu zahlreichen Ransomware-Angriffen geführt haben. Der Akteur nutzt in der Regel Phishing, um seine Malware-Nutzlast zu verbreiten, ähnlich wie bei seiner Kampagne in dieser Steuersaison.
Indem er Personen mit Nachrichten anspricht, in denen von "Steuererklärungsfehlern" und "erforderlicher IRS-Prüfung" die Rede ist, spielt der bösartige Akteur mit den Ängsten und dem Stress, die im Zusammenhang mit der Steuererklärung vorherrschen. Diese E-Mails führen oft zu einer betrügerischen Docusign-Seite, auf der die Malware installiert wird, wenn sie genehmigt wird.
Darüber hinaus berichteten mehrere Unternehmen, dass sie betrügerische E-Mails mit angehängten PDFs erhalten haben, die QR-Codes enthalten. Diese QR-Codes installieren nach dem Scannen die Malware-Software Racoon0365, ein Tool, das die Anmeldeseite von Microsoft 365 imitiert, um Anmeldedaten zu stehlen und die MFA-Authentifikatoren von Microsoft zu umgehen.
Betrug durch Steuerberater und soziale Medien
Die Liste der häufigsten Cybersecurity-Betrügereien während der Steuersaison (IRS 2025) zeigt, dass die Betrüger soziale Medien und Podcasts nutzen, um mit den Opfern in Kontakt zu treten. Soziale Mediennetzwerke werden zunehmend ausgebeutet durch Cyberkriminelle, die sich als "Influencer" oder Betrüger ausgeben, die irreführende Finanztipps geben und den Steuerzahlern oft finanzielle Gewinne und zusätzliche Steuerrückerstattungen versprechen, wenn sie ihren Anweisungen oder Zahlungen folgen.
Zu den aufgedeckten Betrügereien gehören betrügerische Behauptungen über Kraftstoffsteuergutschriften auf Bundeserklärungen und Investitionen in gefälschte Kryptowährungen und Plattformen. Einige Betrugsfälle betreffen falsche Steuerberater, die sich als qualifizierte CPAs (Certified Public Accountants) ausgeben und kostengünstige oder kostenlose Steuererklärungsdienste anbieten. Indem sie sich Zugang zu den persönlichen und sensiblen Finanzdaten des Opfers verschaffen, begehen diese Betrüger Steuerbetrug, indem sie Steuerdokumente in Ihrem Namen bei der IRS falsch einreichen. Solche Versuche des Identitätsdiebstahls führen zu äußerst kostspieligen und aufwendigen Gerichtsverfahren. Darüber hinaus können diese sensiblen Informationen auch dazu verwendet werden, sich Zugang zu den Bankkonten der Steuerzahler zu verschaffen, um weitere Finanzdelikte zu begehen.
Schützen Sie sich und Ihre Mitarbeiter vor Betrügereien in der Steuersaison
Sind Sie daran interessiert, sicher zu bleiben?
Befolgen Sie diese 3 wesentlichen Schritte.
- Verwenden Sie nur sichere Steuersoftware: Die IRS rät, Steuersoftware nur von offiziellen Quellen herunterzuladen. Verwendung von Anti-Phishing-Lösungen wie Werbeblockern, Anti-Spam-Filtern und Anti-Spyware, um die Verbreitung von Malware einzudämmen.
- Standardisierung der MFA und Sensibilisierung für ungewöhnliche Aktivitäten: Die Standardisierung der Nutzung von MFA zusätzlich zu komplexen und eindeutigen Passwörtern ist von äußerster Wichtigkeit. Die Schulung Ihrer Mitarbeiter zur Erkennung von Phishing-Versuchen und verdächtigen Aktivitäten in E-Mails, SMS und Telefonanrufen trägt wesentlich dazu bei, stress- und angstbedingte menschliche Fehler während der Steuersaison zu vermeiden.
- Halten Sie Ausschau nach nicht geprüften Steuerberatern und Wirtschaftsprüfern: Machen Sie darauf aufmerksam, wie wichtig es ist, nur geprüfte und seriöse Steuerberatung in Anspruch zu nehmen. Wenn jemand, der behauptet, ein offizieller CPA zu sein, Kontakt aufnimmt, ist es Ihr gutes Recht, seine Lizenznummer zu überprüfen, indem Sie CPA-Überprüfungsplattform. Darüber hinaus müssen Steuerberater durch eine vom IRS nach Prüfung erteilte Preparer Tax Identification Number (PTIN) legitimiert sein. Je nach Bundesland können Steuerberater auch Lizenzen oder eine elektronische Steueridentifikationsnummer erhalten, die zur Überprüfung ihrer Glaubwürdigkeit verwendet werden können.
Sind Sie bereit, loszulegen?
Über den Autor
