Cybersecurity und Steuerbetrug [Ein Überblick]

Warum sind Steuerbetrüger in dieser Saison so omnipräsent? Und was sagt das über den Zustand der Online-Sicherheit aus?

Während sich die Steuersaison dem Ende zuneigt, werden die nordamerikanischen Postfächer mit betrügerischen E-Mails überschwemmt. Von Phishing-Versuchen über Ransomware bis hin zu gezielten Angriffen - steuerbezogene Cybersecurity-Betrügereien sind eine Bedrohung von höchster Priorität, die zu Risiken wie dem Verlust von Zugangsdaten, Identitätsdiebstahl und Finanzbetrug führen kann.

Die Steuersaison ist ein kritischer Zeitraum, der durch einen Anstieg der Online-Aktivitäten gekennzeichnet ist, da Privatpersonen und Unternehmen sich beeilen, ihre Steuererklärungen auszufüllen und einzureichen. Die Zunahme des Austauschs personenbezogener Daten und sensibler Informationen in dieser Zeit lockt Cyberkriminelle an, die sich die große Verwirrung und Angst zunutze machen, die mit der Steuererklärung verbunden ist.

Was die CybelAngel-Analysten in dieser Steuersaison gesehen haben

Die Cybersecurity-Analysten von CybelAngel untersuchen und überwachen täglich Tausende von Warnmeldungen und haben so einen detaillierten Überblick über die Angriffsfläche von Bedrohungen, die diese Steuersaison prägen.


Zwischen Januar und April 2025 erlebten Unternehmen im amerikanischen Finanzdienstleistungssektor einen bemerkenswerten Anstieg der Cyberbedrohungen im Vergleich zum vorherigen Quartal. Die Berichte wiesen auf eine erhebliche Zunahme von Phishing-Vorfällen, Social-Engineering-Betrug und das Ausspähen von Zugangsdaten hin, was die spürbaren Auswirkungen der Steuersaison auf die Cybersicherheitsrisiken unterstreicht.

Dieser Anstieg wurde von der US-Steuerbehörde (Internal Revenue Service, IRS) erwartet und vorhergesagt, die Steuerzahler und Unternehmen warnte, sich vor den üblichen Betrügereien in Acht zu nehmen, bei denen die Gefahr besteht, dass ihre Steuer- und Finanzdaten preisgegeben werden. Zu diesem Zweck hat die IRS eine Liste des Dutzends die wichtigsten Cyberangriffe, die Steuerzahler im Jahr 2025 beachten sollten. Diese Liste enthält vor allem Phishing-E-Mails, gefälschte Steuerberatungsfirmen und über soziale Medien verbreitete Betrügereien. Laut einer FBI-BerichtIm Jahr 2024 gingen beim Cybercrime Complaint Centre über tausend Beschwerden über Identitätsdiebstahl im Zusammenhang mit Steuern ein, von denen die meisten auf Spear-Phishing-Versuche und Social Engineering über soziale Medien zurückzuführen waren.

Oberhalb der Liste der Steuerbetrügereien des "dreckigen Dutzends" der IRS.

1. Phishing-Angriffe und Betrügereien mit IRS-Identität

Seit Anfang dieses Jahres wurde über verschiedene Arten von Phishing-Kampagnen berichtet. Viele von ihnen enthalten rote Fahnen, wie z. B. die Identität von Steuerfachleuten, des Finanzamtes und von rechtlichen Hinweisen.

Nach Angaben von Carbonite-BlogJeder dritte Angestellte fällt auf Phishing-Angriffe herein, indem er auf bösartige Links oder Anhänge klickt, die er über sein Unternehmen erhält. E-Mail-Konten. Dies hat zu finanziellen Verlusten geführt, die auf $4,9 Millionen pro erfolgreichem Angriff. Insgesamt haben diese Betrügereien die Unternehmen schätzungsweise über $55 Millionen in den letzten zehn Jahren, wie eine FBI-Studie zeigt.

Die Imitation der IRS-Website ist ebenfalls eine beliebte Technik, die von Angreifern in dieser Zeit eingesetzt wird. Diese E-Mail-Betrügereien sind oft mit Domänen verknüpft, die leichte Rechtschreibfehler, zusätzliche Zeichen oder ungewöhnliche Domänenerweiterungen wie ".xyz", ".info" oder ".top" aufweisen, die nur geringfügig von den offiziellen IRS-Domänen abweichen. Eine schwer zu erkennende rote Flagge.

Sobald sie angeklickt werden, leiten sie die Opfer oft auf gefälschte IRS-Portale um, um die Betroffenen zur Angabe von sensiblen Finanzinformationen, Sozialversicherungsnummern, Passwörtern und anderen vertraulichen Daten zu verleiten. Nach Angaben der Cybersicherheitsforscherim Januar 2025, mindestens 158 neue und einzigartige Domains erstellt, die dem Muster von "irs.gov" folgten und versuchten, sich als die legitime Steuerbehörde auszugeben. Außerdem wurden fast 3.500 Domänen wurden in diesem Zeitraum als böswillig oder als für Phishing-Angriffe verwendet gemeldet.

2. Datenlecks in der Steuersaison

Neben Website- und IRS-Imitaten gab es auch einen Anstieg bei anderen Formen von Steuerbetrug wie Smishing- und Vishing-Kampagnen, bei denen Cyberkriminelle SMS und Telefonanrufe nutzen, um Phishing-Angriffe durchzuführen, die besonders nützlich sind, um die Mehrfaktor-Authentifizierung zu umgehen.

Diese Methoden wurden auch verwendet, um Malware und Viren zu verbreiten, die sich vertikal und horizontal in einem Computernetz ausbreiten und so zu weiteren sensiblen Datenlecks führen.

Im Februar 2025 beobachtete Microsoft die Latrodectus-Malware-Kampagne, die mit Phishing-E-Mails im Stil der US-Steuerbehörde IRS auf US-Steuerzahler abzielte.

In einer kürzlichen Antwort von Microsoft in den sozialen Medien wurde die Lactodectus-Malware-Kampagne beschrieben.

Bei der Lactodectus-Malware-Kampagne, die erstmals 2023 auftauchte, handelt es sich um eine Malware, die über einen PDF-Anhang in Phishing-E-Mails verbreitet wird. Laut einer Microsoft-Veröffentlichung wurden im ersten Quartal mehrere Tausend amerikanische E-Mail-Adressen von der cyberkriminellen Gruppe Storm-0249 angegriffen. Storm-0249 ist ein Access Broker, der seit 2021 aktiv ist und für mehrere katastrophale Malwares wie die Bumblebee- und die BazaLoader-Malware verantwortlich gemacht wird, die zu zahlreichen Ransomware-Angriffen geführt haben. Der Akteur nutzt in der Regel Phishing, um seine Malware-Nutzlast zu verbreiten, ähnlich wie bei seiner Kampagne in dieser Steuersaison.

Indem er Personen mit Nachrichten anspricht, in denen von "Steuererklärungsfehlern" und "erforderlicher IRS-Prüfung" die Rede ist, spielt der bösartige Akteur mit den Ängsten und dem Stress, die im Zusammenhang mit der Steuererklärung vorherrschen. Diese E-Mails führen oft zu einer betrügerischen Docusign-Seite, auf der die Malware installiert wird, wenn sie genehmigt wird.

Darüber hinaus berichteten mehrere Unternehmen, dass sie betrügerische E-Mails mit angehängten PDFs erhalten haben, die QR-Codes enthalten. Diese QR-Codes installieren nach dem Scannen die Malware-Software Racoon0365, ein Tool, das die Anmeldeseite von Microsoft 365 imitiert, um Anmeldedaten zu stehlen und die MFA-Authentifikatoren von Microsoft zu umgehen.

Betrug durch Steuerberater und soziale Medien

Die Liste der häufigsten Cybersecurity-Betrügereien während der Steuersaison (IRS 2025) zeigt, dass die Betrüger soziale Medien und Podcasts nutzen, um mit den Opfern in Kontakt zu treten. Soziale Mediennetzwerke werden zunehmend ausgebeutet durch Cyberkriminelle, die sich als "Influencer" oder Betrüger ausgeben, die irreführende Finanztipps geben und den Steuerzahlern oft finanzielle Gewinne und zusätzliche Steuerrückerstattungen versprechen, wenn sie ihren Anweisungen oder Zahlungen folgen.

Schützen Sie Ihre Marke mit CybelAngel's Markenschutzmodul.

Zu den aufgedeckten Betrügereien gehören betrügerische Behauptungen über Kraftstoffsteuergutschriften auf Bundeserklärungen und Investitionen in gefälschte Kryptowährungen und Plattformen. Einige Betrugsfälle betreffen falsche Steuerberater, die sich als qualifizierte CPAs (Certified Public Accountants) ausgeben und kostengünstige oder kostenlose Steuererklärungsdienste anbieten. Indem sie sich Zugang zu den persönlichen und sensiblen Finanzdaten des Opfers verschaffen, begehen diese Betrüger Steuerbetrug, indem sie Steuerdokumente in Ihrem Namen bei der IRS falsch einreichen. Solche Versuche des Identitätsdiebstahls führen zu äußerst kostspieligen und aufwendigen Gerichtsverfahren. Darüber hinaus können diese sensiblen Informationen auch dazu verwendet werden, sich Zugang zu den Bankkonten der Steuerzahler zu verschaffen, um weitere Finanzdelikte zu begehen.

Mit dem Aufkommen der künstlichen Intelligenz werden Steuerbetrug und damit verbundene Cyberangriffe immer raffinierter, insbesondere durch den Einsatz von Deep Fakes. Betrüger nutzen KI-generierte Fälschungen, um sich bei Telefon- oder Videoanrufen als Steuerberater oder IRS-Beamte auszugeben. KI wird auch eingesetzt, um überzeugende gefälschte Anmeldeseiten und Phishing-E-Mails zu erstellen, wodurch es für die Opfer noch schwieriger wird, verdächtige Aktivitäten zu erkennen.

Schützen Sie sich und Ihre Mitarbeiter vor Betrügereien in der Steuersaison

Sind Sie daran interessiert, sicher zu bleiben?

Befolgen Sie diese 3 wesentlichen Schritte.

  • Verwenden Sie nur sichere Steuersoftware: Die IRS rät, Steuersoftware nur von offiziellen Quellen herunterzuladen. Verwendung von Anti-Phishing-Lösungen wie Werbeblockern, Anti-Spam-Filtern und Anti-Spyware, um die Verbreitung von Malware einzudämmen.
  • Standardisierung der MFA und Sensibilisierung für ungewöhnliche Aktivitäten: Die Standardisierung der Nutzung von MFA zusätzlich zu komplexen und eindeutigen Passwörtern ist von äußerster Wichtigkeit. Die Schulung Ihrer Mitarbeiter zur Erkennung von Phishing-Versuchen und verdächtigen Aktivitäten in E-Mails, SMS und Telefonanrufen trägt wesentlich dazu bei, stress- und angstbedingte menschliche Fehler während der Steuersaison zu vermeiden.
  • Halten Sie Ausschau nach nicht geprüften Steuerberatern und Wirtschaftsprüfern: Machen Sie darauf aufmerksam, wie wichtig es ist, nur geprüfte und seriöse Steuerberatung in Anspruch zu nehmen. Wenn jemand, der behauptet, ein offizieller CPA zu sein, Kontakt aufnimmt, ist es Ihr gutes Recht, seine Lizenznummer zu überprüfen, indem Sie CPA-Überprüfungsplattform. Darüber hinaus müssen Steuerberater durch eine vom IRS nach Prüfung erteilte Preparer Tax Identification Number (PTIN) legitimiert sein. Je nach Bundesland können Steuerberater auch Lizenzen oder eine elektronische Steueridentifikationsnummer erhalten, die zur Überprüfung ihrer Glaubwürdigkeit verwendet werden können.

Sind Sie bereit, loszulegen?