Vortäuschung der Identität einer deutschen Steuer- und Unfallversicherungsanstalt
3. Juni 2025
Von dem Mimecast Threat Research Team
Was Sie in dieser Benachrichtigung erfahren
- Angreifer nutzen das Vertrauen in Institutionen aus, indem sie sich auf raffinierte Weise als deutsche Steuerbehörde ausgeben.
- Die E-Mails scheinen von maßgeschneiderten Spam-Skripten generiert zu werden, die gefälschte Thunderbird-Header verwenden und sich durch eine große Vielfalt an Betreffzeilen und Absenderadressen auszeichnen.
- Vorwiegend auf Organisationen in Deutschland ausgerichtet, wobei ein finanzielles Motiv vorliegt
Das Threat-Research-Team beobachtet seit Anfang Mai 2025 Betrugsaktionen, die sich gegen deutsche Organisationen richten. Im Mittelpunkt dieser Kampagne stehen zwei bedeutende Einrichtungen: das Bundeszentralamt für Steuern (BZSt) und die Berufsgenossenschaft der Lebensmittel- und Gastronomiegewerbe (BGN). Obwohl es sich bei diesen Organisationen nicht um offizielle Einrichtungen des öffentlichen Dienstes handelt, spielen sie bei der Verwaltung von Steuer- und Sozialversicherungsangelegenheiten in Deutschland eine bedeutende Rolle.
Das Werbemittel konzentriert sich auf zwei Bereiche und enthält einen Rechnungsanhang.
- Einführung in das digitale DGUV-Präventionsmodul:
- Beispielbetreff: Einführung des digitalen DGUV-Präventionsmoduls
- Inhalt: Verpflichtet zur Teilnahme, erläutert die Vorteile und legt dringende Fristen für die Einhaltung der Vorschriften sowie für Zahlungen fest.
- Zahlungserinnerung zur Steuererklärung 2023
- Beispiel für einen Betreff: Zahlungserinnerung: Steuererklärung 2023
- Inhalt: Weist auf eine fällige Gebühr für die Steuererklärung in Höhe von x Betrag hin, fordert dazu auf, die angehängte PDF-Datei für weitere Einzelheiten zu öffnen, und betont die Dringlichkeit der Zahlung.
Wesentliche Merkmale der Kampagne
Anspruchsvolle deutschsprachige Botschaften
Die Betrugs-E-Mails sind in formellem, gut formuliertem Deutsch verfasst und ahmen den Ton und Stil offizieller Mitteilungen von Behörden nach. Dies erhöht die Glaubwürdigkeit der Botschaften und macht sie für die Endnutzer überzeugender.
Gefälschte Domains, die sich als Steuerbehörden und BGN ausgeben
Die Angreifer nutzen Domains, die den legitimen deutschen Steuerbehörden und der BGN-Kommunikation zum Verwechseln ähnlich sehen. Diese Domains sollen die Empfänger dazu verleiten, zu glauben, die E-Mails stammten aus offiziellen Quellen. Beispiele für gefälschte Domains sind unter anderem:
Für das BZSt:
- bzst-abwicklung.de (Abwicklung)
- bzst-forderung.de (Forderung)
- bzst-rechnungen.de (Rechnung)
- bzst-einzahlung.de (Einzahlung/Zahlung)
- bzst-zahlung.de (Zahlung)
Für BGN:
- bgn-abwicklung.de (Bearbeitung)
- bgn-bezahlung.de (Zahlung)
- bgn-einzahlung.de (Anzahlung/Zahlung)
- bgn-forderung.de (Forderung/Anspruch)
- bgn-transfer.de (Übertragung)
- bgn-zahlstelle.de (Zahlstelle)
Die Namenskonventionen dieser Domains orientieren sich an der Terminologie im Steuer- und Sozialversicherungswesen, was ihre Glaubwürdigkeit in den Augen der Empfänger weiter stärkt.
Automatisierte PDF-Erstellung
Die E-Mails enthalten allesamt PDF-Rechnungen, die mit einer Software erstellt wurden, die dafür bekannt ist, dynamische, individuell angepasste PDF-Dateien zu erstellen, mit denen die Angreifer die Dokumente auf die einzelnen Empfänger zuschneiden. Diese PDF-Dateien enthalten häufig betrügerische Zahlungsanweisungen.
Betrügerische Zahlungsdaten
Ein deutlicher Hinweis auf betrügerische Aktivitäten im Rahmen dieser Kampagnen ist die Angabe spanischer Bankdaten in den Anhängen. Diese Angaben stehen im Widerspruch zu legitimen deutschen Geschäftsabläufen und sind ein Warnsignal. Zu den Beispielen für betrügerische Finanzinformationen zählen:
- IBAN: ES26 2100 1779 5102 0063 0566
- BIC: CAIXESBBXXX (CaixaBank, Spanien)
Mimecast-Schutz
Wir haben bei den jüngsten Kampagnen mehrere Merkmale identifiziert, die in unsere Erkennungsfunktionen aufgenommen wurden. Wir beobachten weiterhin, ob sich die von dieser Bedrohungsgruppe eingesetzten Techniken ändern.
Ziele:
Überwiegend deutsche Unternehmen aus verschiedenen Branchen
IOCs
Absender-Domains
bgn-abwicklung[.]de
bgn-bezahlung[.]de
bgn-einzahlung[.]de
bgn-forderung[.]de
bgn-transfer[.]de
bgn-zahlstelle[.]de
bgn-zahlungen[.]de
bzst-abwicklung[.]de
bzst-einzahlung[.]de
bzst-forderung[.]de
bzst-rechnungen[.]de
bzst-zahlung[.]de
E-Mail-Betreffzeilen
Steuererklärung 2023 – Statusprüfung empfohlen
Erinnerung an die Einreichung der Steuerunterlagen für das Jahr 2023
Aktuelle Informationen zu Ihrer Steuererklärung
Übersicht über die eingereichte Steuererklärung 2023
Informationen zur Steuererklärung 2023
Mitteilung zur Bearbeitung Ihrer Steuererklärung
Hinweis zur Fristüberschreitung bei der Steuererklärung
Mitteilung zum Bearbeitungsstatus Ihrer Steuererklärung
Einreichung Ihrer Steuerunterlagen – kurzer Überblick
Steuerunterlagen 2023 – ergänzende Hinweise
Empfehlungen
- Benutzerschulung zum Sicherheitsbewusstsein
- Informieren Sie die Nutzer über die neuesten Lockvogel-Taktiken, die in diesen Kampagnen zum Einsatz kommen
- Führen Sie regelmäßig Phishing-Simulationen durch, um die neuesten Bedrohungen einzubeziehen
- Schulen Sie die Nutzer darin, niemals Anhänge von unbekannten oder nicht verifizierten Absendern zu öffnen
- Führen Sie eine Richtlinie ein, die vorschreibt, dass der Absender vor dem Öffnen unerwarteter Anhänge über einen alternativen Kommunikationskanal überprüft werden muss.
- Proaktive Bedrohungssuche
- Durchsuchen Sie die Protokolle der E-Mail-Eingänge anhand bestimmter Filter für die Betreffzeilen
- Durchsuchen Sie die E-Mail-Empfangsprotokolle mithilfe spezifischer Filter nach E-Mails, die von mail.ru stammen