Die Steuererklärung steht an – und Cyberkriminelle in den Startlöchern

Steuerzahler und Steuerberater sind gehalten vertrauliche Informationen zu schützen.

Foto: Globalsign Illustration: Absmeier

Bei einer Zertifizierungsstelle wie GlobalSign konzentriert sich alles auf ein Ziel – Identitäten zu schützen. Wenn also in den nächsten Wochen die Steuererklärung ansteht, sind wir uns nur allzu sehr bewusst wie schnell betrügerische Aktivitäten den Abgabezeitraum zum Alptraum machen können.

Eine 2017 veröffentlichte Studie von Javelin Strategy & Research hat ergeben, dass fast jeder dritte Verbraucher, dessen Daten durch ein Datenleck offengelegt wurden, später Opfer eines Identitätsdiebstahls/-betrugs wird. Cyberkriminelle versuchen so gut wie alles, um an persönliche Informationen zu gelangen. Verbraucher sollten besonders auf unerwartete E-Mails, SMS, Posts in den sozialen Medien oder gefälschte Websites achten, wenn sie verhindern wollen, dass wertvolle persönliche und finanzielle Informationen in die falschen Hände gelangen.

Das Ziel der Angriffe ist es entweder Geldmittel abzuziehen oder Identitätsdiebstahl zu betreiben. Unbekannte Links und Anhänge enthalten potenziell Malware, Viren, Spyware oder andere unerwünschte Software, die auf Computern oder Mobiltelefonen installiert werden. Einmal geöffnet, richten sie nicht nur unmittelbaren Schaden an, sondern sind in der Lage später weitere Dateien zu infizieren.

Laut IT World Canada könnte sich die Situation noch verschlimmern. Gerade der Zeitraum, in dem die Steuererklärung fällig wird, eignet sich besonders für zielgerichtete Betrugsmanöver. Die Adressaten erhalten E-Mails mit einem Betreff wie »Hinweis auf ausstehende Einkommenssteuerzahlung« oder »Schreiben des Finanzamts«. Solche E-Mails, sind oftmals nicht personalisiert und beginnen mit dem generischen »Sehr geehrter Steuerzahler«. Sie enthalten beispielsweise offiziell wirkende Anhänge mit den Logos der zuständigen Behörden, enthalten aber tatsächlich eine Schadsoftware. Cyberkriminelle locken mit Links, die auf gefälschte Websites weiterleiten, komplett mit Regierungs- oder Finanzamt-Logos. Und so gelangen Kriminelle an Passwörter und Anmeldedaten.

Illustration: Absmeier

Sie wollen nicht wirklich helfen….

 

Hacker nutzen ihre Möglichkeiten. Betrüger erstellen zum Beispiel gefälschte Versionen von Online-Buchhaltungstools wie QuickBooks, während sich andere als Mitarbeiter des technischen Supports ausgeben. Das alles ist nicht neu. Schon 2016 behauptete eine Gruppe von Ransomware-Hackern, dass ein Fortune 500 Unternehmen dafür bezahlt habe, einen Wettbewerber zu hacken. In einem aktuelleren Beispiel hat die Cybersicherheitsfirma Lookout mehr als 100 Websites entdeckt, die nur darauf ausgelegt sind, Steuerzahler bei der Steuererklärung zu betrügen. Im Visier: mehr als 135 Millionen amerikanische Steuerzahler.

Ein Artikel in Wired vom 4. April weist noch auf einen anderen Aspekt hin. Eine Steuersoftware wird nicht unbedingt täglich benutzt. Wenn die Steuererklärung ansteht, suchen viele Rat und Hilfe wie man die selten genutzte Software am besten bedient. Genau das macht die Hilfesuchenden zu einem leichten Ziel von gefälschten Websites wie »quickebooksupport.com« und »quickbooks-helpline.com«. Die betreffenden Scams, so Wired, zielen auf potenzielle Opfer, die über Google oder Bing Hilfe suchen. Und die Angreifer gehen noch einen Schritt weiter. »Support«-Techniker, die man auf solchen Seiten über eine 1-800-Nummer kontaktieren kann, verlangen externen Remote-Zugriff auf die Computer ihrer Opfer und stehlen so persönliche Informationen. Wieder andere Methoden nutzen diese Nummern um gefälschte, unnötige Software zu verkaufen. Es wurden ähnliche Seiten entworfen, um beispielsweise den Apple-Support zu imitieren.

Die Recherchen von Lookout verdeutlichen nur einige der möglichen Steuerbetrugsfälle. Es ist nicht überraschend, dass Betrüger ihre potenziellen Opfer immer häufiger über soziale Medien ins Visier nehmen. Mit gezielten Falschinformationen zu frei erfundenen Steuervergünstigungen hoffen sie an persönliche Informationen zu kommen.

 

Auch Steuerberater sind gefährdet

Hacker haben allerdings nicht nur Endverbraucher im Visier. Steuerberater sind ebenso wenig vor Betrugsversuchen sicher. Anfang dieses Jahres hat das Unternehmen ProofPoint eine Strategie entdeckt, die sich gezielt gegen Steuerberatungskanzleien richtet. Diese erhalten eine E-Mail von einem fiktiven Steuerzahler namens »Timothy«. Laut einem am 3. April veröffentlichten Artikel in Bleeping Computers enthält die E-Mail scheinbar Informationen, welche die Kanzlei angefordert habe. Darunter sind mehrere gefälschte Dokumente – wie eine Steuererklärung, Vermögensaufstellungen und ein Formular für Hypothekenzinsen. Die Hacker sind aber noch einen Schritt weiter gegangen um »Timothys« Informationen noch glaubwürdiger erscheinen zu lassen. Hat der Empfänger die Makros aktiviert, wird das Dokument heruntergeladen und ein unter dem Namen »Remcos RAT« bekanntes Tool auf dem Computer installiert. Remcos (Remote Control and Surveillance; Fernsteuerung und -überwachung) sind Fernsteuerungstools, die frei käuflich erhältlich sind. Das Tool ist an sich legitim und die ursprünglichen Entwickler verbieten ausdrücklich den Missbrauch. Das hält Cyberkriminelle, die sich zusätzlichen Profit versprechen, allerdings kaum ab.

Ist das RAT-Tool installiert, haben die Angreifer unter Umständen vollen Zugriff auf alle Daten des Empfängers – in diesem Falle Dateien mit Steuerkonten. Auswirkungen, die jetzt zahlreiche Kunden betreffen, obwohl nur ein einziger Computer infiziert wurde.

Immer wenn finanzielle Informationen im Spiel sind, sollte man Vorsicht walten lassen, aber ganz besonders dann, wenn die Steuererklärungen fällig sind. Mit wachsenden Problemen wie etwa Phishing sollten Kunden sich genau überlegen, ob sie Einkommensteuerinformationen nicht besser direkt an den Steuerberater weitergeben statt sie per E-Mail zu schicken. Falls Sie die Daten online abgeben, tun Sie das besser direkt auf der jeweiligen Seite, statt auf einen Link in einem Dokument oder in einer E-Mail zu klicken. Recherchieren Sie die Website-Adresse sorgfältig, bevor Sie Ihre Daten übermitteln. Nur so wissen Sie, dass die Seite die richtige und legitim ist, und mithin sicher.

Behalten Sie am besten folgenden Punkte im Kopf:

  • Das Finanzamt kontaktiert Bürger immer zuerst per Post, nicht per E-Mail. Falls Sie keinen Brief mit der Post erhalten haben, ist es unwahrscheinlich, dass die betreffenden E-Mails wirklich vom Finanzamt kommen.
  • Echte Support-Mitarbeiter brauchen keinen Zugriff auf Ihren Computer, um Informationen zu erhalten oder Ihnen weiterzuhelfen.
  • Nutzen Sie immer einen Passwortmanager, statt das gleiche Passwort für mehrere Accounts zu nutzen.
  • Gehen Sie mit persönlichen Informationen sorgfältig um. Nennen Sie Ihre Sozialversicherungsnummer nur, wenn das absolut notwendig ist.
  • Prüfen Sie Ihre Kreditinformationen hinsichtlich dubioser Aktivitäten. Werfen Sie Papiere mit vertraulichen Informationen wie zum Beispiel Papiere mit Sozialversicherungsnummern oder Kontoinformationen nie in den Müll. Nutzen Sie dafür immer einen Aktenvernichter.

 

https://www.globalsign.com/de-de/

 

290 search results for „Cyberkriminelle Tipp“

Cyberkriminelle lernen voneinander, Unternehmen sollten dies auch tun – Tipps zur Petya-Attacke

Pharmahersteller, Reeder, Flughäfen, Energieversorger, Werbeunternehmen, russische, ukrainische, französische sowie britische Unternehmen und wohl auch ein deutscher Konzern – die Liste der durch die Petya-Attacke betroffenen Organisationen wächst kontinuierlich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Unternehmen jedoch dazu, das geforderte Lösegeld nicht zu bezahlen. Dabei bedienen sich die Angreifer Werkzeugen, die schon seit…

Gesundheitswesen massiv im Visier der Cyberkriminellen – Tipps für Gegenmaßnahmen

Bei einer Befragung von Führungskräften im Gesundheitswesen durch KPMG [1] gaben vier Fünftel der Führungskräfte an, dass ihre IT bereits durch Cyberangriffe kompromittiert wurde. Befragt wurden 223 Führungskräfte, die sowohl für kommerzielle (56 Prozent) als auch Non-Profit-Einrichtungen (44 Prozent) sowie Kostenträger und Anbieter im Gesundheitswesen arbeiten. 80 Prozent der befragten Führungskräfte gaben an, von kompromittierten…

3 Tipps zum Welt-Passwort-Tag

Wie jedes Jahr soll der Welt-Passwort-Tag Verbraucher und Unternehmen über das Thema »Passwort-Sicherheit« aufklären. (Nicht nur) Am 02. Mai heißt es also: wie schütze ich meine Passwörter? Passwort-Schutz ist eines der wichtigsten Themen, wenn es um die Sicherheit der eigenen Daten im Netz geht. Dennoch vernachlässigen es viele, die eigenen Passwörter angemessen zu pflegen und…

Cyberkriminelle und ihre psychologischen Tricks: Social-Engineering-Angriffe erfolgreich bekämpfen

Social Engineering gilt heute als eine der größten Sicherheitsbedrohungen für Unternehmen. Im Gegensatz zu traditionellen Hacking-Angriffen können Social-Engineering-Angriffe auch nicht-technischer Natur sein und müssen nicht zwingend eine Kompromittierung oder das Ausnutzen von Software- oder Systemschwachstellen beinhalten. Im Erfolgsfall ermöglichen viele Social-Engineering-Angriffe einen legitimen, autorisierten Zugriff auf vertrauliche Informationen. Die Social Engineering-Strategie von Cyberkriminellen fußt auf…

Cyberkriminelle nutzen verstärkt IoT-Geräte für DDoS-Angriffe

Laut aktuellem Report lassen sich IoT-Geräte mit Machine-to-Machine-Kommunikationsprotokoll zunehmend für Angriffe ausnutzen.   Der neue D»DoS Threat Intelligence Report« zeigt, welche Tools Hacker für ihre Distributed Denial of Service (DDoS)-Angriffe nutzen und welche Ziele sie dabei angreifen. Im Zuge der Studie entdeckte A10 Networks, dass verstärkt IoT-Geräte ausgenutzt werden, um Ziele weltweit mit synchronisierten Attacken…

Windows 10 ist besonders anfällig: Jeder fünfte Heim-PC ist Zielscheibe für Cyberkriminelle

  Deutschland auf Platz 12 der weltweit sichersten Länder, Österreich auf Platz 4, Schweiz auf Platz 6 Betriebssystem-Check: Windows 10 ist besonders anfällig für »Advanced Threats«   Avast deckt in seinem Avast Global PC Risk Report das Gefahrenpotenzial für Privatcomputer auf [1]. Das Ergebnis der weltweiten Analyse: Für Anwender von Windows 7, 8 und 10…

Sicherheitstipps gegen Datenverlust und Identitätsdiebstahl

Jeder zweite Internetnutzer ist nach einer jüngsten Umfrage des Branchenverbandes Bitkom inzwischen von Cyberkriminalität betroffen: »Datendiebstahl, Identitätsklau, Beleidigung oder Betrug: Kriminelle finden zunehmend Opfer im Internet. Jeder zweite Internetnutzer (50 Prozent) war im vergangenen Jahr Opfer von Cyberkriminalität. Am häufigsten klagen Onliner über die illegale Verwendung ihrer persönlichen Daten oder die Weitergabe ihrer Daten an…

Fünf Tipps für sicheres Onlineshopping in der Weihnachtszeit

Die Weihnachtszeit steht vor der Tür und viele Menschen kaufen ihre Geschenke mittlerweile online ein: Eine Studie des Digitalverbands Bitkom ergab, dass im Jahr 2017 insgesamt 96 Prozent aller Internetnutzer ab 14 Jahren online eingekauft haben. Dieses Potenzial haben jedoch auch Cyberbetrüger erkannt. Für sie sind Onlineeinkäufe eine wahre Goldgrube und dementsprechend nutzen sie alle…

Fünf Tipps zum Tag der Computersicherheit

So schützen Sie sich am besten vor Datendiebstahl und sonstigen cyberkriminellen Aktivitäten. Ein Leben ohne Internet ist heute für die Meisten undenkbar – damit ist aber auch das Thema Sicherheit unumgänglich. Der internationale »Computer Security Day« am 30. November soll Menschen weltweit für das Thema Cyber-Sicherheit sensibilisieren. Handlungsbedarf besteht heute schließlich mehr denn je: Durchschnittlich…

Lukratives Weihnachtsgeschäft für Cyberkriminelle

Mit Beginn der Black-Friday-Woche fällt auch der Startschuss für Kreditkartenbetrug, Denial-of-Service-Angriffe & Co. Süßer die Kassen nie klingeln – das Weihnachtsgeschäft soll 2018 erstmals die 100-Milliarden-Euro-Marke durchbrechen. Stärkster Umsatztreiber ist laut Handelsverband Deutschland (HDE) auch in diesem Jahr der E-Commerce, der allein in November und Dezember gut ein Viertel seines Jahresumsatzes erzielt. Davon wollen auch…

Tipps für IT-Teams für Black Friday, Cyber Monday und Weihnachten

Black Friday und Cyber Monday in den USA, Singles Day am 11.11. in China oder die verkaufsreichen Vorweihnachts-Samstage in Europa – globale Verkaufsevents stellen IT und Security-Teams von Online- und Einzelhändlern auf vielen Ebenen vor Herausforderungen. Anlässlich des Black Fridays in dieser Woche haben wir Experten von neun Herstellern aus verschiedenen Bereichen der IT befragt,…

DSGVO-Tipps für Nachzügler

Wie Unternehmen ein DSGVO-taugliches Datenbewusstsein für die digitale Welt entwickeln. Am 25. November ist es sechs Monate her, dass die Datenschutzgrundverordnung mit Ende der Übergangsfrist endgültig in Kraft getreten ist. Bis zu diesem historischen Datum im Mai diesen Jahres herrschte eine große Verunsicherung bei Organisationen aller Art darüber, inwieweit die neuen Vorschriften ihre Prozesse betreffen…

Tipps zum Thema Cybersicherheit: So schützen Sie sich in 10 Schritten vor Hackern

  Schlagzeilen über verheerende Cyberangriffe werden immer häufiger: Sowohl die Zahl der Sicherheitsverletzungen als auch deren Schweregrad nehmen weiter zu. Eine denkbare Erklärung dafür ist, dass Cyberkriminelle mithilfe neu entwickelter, futuristischer Schadsoftware in bisher unangreifbare Netzwerke eindringen und die meisten Experten ratlos zurücklassen. Das mag zwar in Einzelfällen stimmen, doch sehr viel häufiger geschehen Sicherheitsverletzungen…