Check Point Software Technologies warnt vor einer deutlichen Zunahme von auf die Steuererklärungszeit ausgerichteten Cyberangriffen. Neue Erkenntnisse von Check Point Research zeigen, dass diese Kampagnen nicht opportunistisch entstehen. Die Angreifer bauen ihre Infrastruktur Monate im Voraus auf, indem sie betrügerische Domains, Phishing-Websites und schädliche E-Mail-Kampagnen nutzen. Hierzulande wird vor allem mit angeblichen E-Mails von Elster und Steuerbehörden betrogen, in anderen Ländern gibt es eine Reihe von Beispielen, wie perfide die Betrüger vorgehen.
Wichtigste Ergebnisse
- Zwischen September 2025 und Februar 2026 wurden jeden Monat hunderte neue Domains mit Steuerbezug oder Namen von Steuerbehörden registriert.
- Bereits in diesem Zeitraum wurde jede 15. neu registrierte Steuer-Domain als bösartig oder verdächtig eingestuft.
- Im März 2026 stiegen sowohl Volumen als auch Risiko weiter: Jede zehnte neu registrierte Domain wurde als riskant markiert.
- IRS-Imitationsdomains, die mit gefälschten Steuerrückzahlungen zur Preisgabe sensibler Daten verleiten.
- In Spanien wurde im Februar 2026 eine schädliche E-Mail-Kampagne beobachtet, die die Agencia Tributaria (AEAT) imitiert und ein Trojaner-Loader-Executable verbreitet.
Monatelanger Vorlauf: Mehr Steuer-Domains, mehr Risiko
Die Daten zeigen einen klaren Trend: Bereits Monate vor dem eigentlichen Höhepunkt der Steuerperiode registrieren Threat-Actors massenhaft neue Domains mit steuerbezogenen Keywords und Namen von Behörden. Von September 2025 bis Februar 2026 wurden jeden Monat Hunderte solcher Domains registriert. Die Aktivität nahm gegen Ende 2025 zu und verstärkte sich ab November deutlich.
Auffällig ist dabei nicht nur das hohe Volumen, sondern auch der Missbrauch: Bereits in diesem Zeitraum wurde jede 15. dieser Domains als bösartig oder verdächtig eingestuft. Im März 2026 verschärfte sich die Lage weiter, denn eine von zehn neu registrierten Steuer-Domains wurde als riskant markiert.
IRS-Phishing mit „Tax Refund“-Ködern
Im Januar 2026 wurden mehrere Phishing-Domains identifiziert, die den US Internal Revenue Service (IRS) imitieren, darunter 2025irswebsiteislive[.]live und irstax-refund[.]xyz. Beide Seiten wirken wie Teil derselben koordinierten Kampagne, da Inhalte und Funktionen nahezu identisch sind. Die Websites locken mit gefälschten „Tax Refund“-Versprechen und werben mit unrealistisch hohen Auszahlungen, beispielsweise 1.400 US-Dollar pro Woche oder eine Einmalzahlung von 38.700 US-Dollar. Anschließend werden die Opfer dazu gebracht, sensible persönliche Informationen wie ihren vollständigen Namen, ihre Social-Security-Number, ihre Telefonnummer und ihre E-Mail-Adresse einzugeben. Darauf folgt ein zusätzlicher Schritt zur Identitätsverifizierung, was stark auf eine groß angelegte Datenernte hindeutet.
Malware-Mail im Namen der spanischen Steuerbehörde
Neben betrügerischen Websites wurde im Februar 2026 auch eine schädliche E-Mail-Kampagne beobachtet, die die spanische Steuerbehörde Agencia Tributaria (AEAT) imitiert. In einem dokumentierten Fall wurde eine E-Mail mit der gefälschten Absenderadresse agenciatributaria@correo.aeat.es an ein spanisches Industrieunternehmen gesendet. Die E-Mail trug den Betreff „AEAT – Notification Notice 2026“ bzw. „AEAT – Aviso de notificación 2026”. Sie enthielt einen ausführbaren Anhang, der als „Trojan.Downloader/Trojan.Minix (NSIS)“ klassifiziert wurde. Dieser fungiert als Loader, der weitere Schadsoftware nachlädt und ausführt. Dadurch können sekundäre Bedrohungen wie Credential-Stealer oder Keylogger auf das System gelangen. Dies kann eine weitergehende Kompromittierung und den Abfluss sensibler Daten ermöglichen.
Fazit
Die Steuerzeit 2026 schafft ideale Bedingungen für Cyberkriminalität: Es sind große Mengen sensibler Identitäts- und Finanzdaten vorhanden, es wird mit offizieller Kommunikation gerechnet und es herrscht Zeitdruck. Die aktuellen Beobachtungen zeigen, dass Angreifer diese Situation planvoll ausnutzen und ihre Infrastruktur lange im Voraus aufbauen. Zur Risikoreduktion ist es entscheidend, neue steuerbezogene Domains frühzeitig zu erkennen, Phishing-Versuche zu identifizieren und die Ausführung schädlicher Dateien zu verhindern. Dies sollte in Kombination mit proaktiven Sicherheitsmaßnahmen und gut informierten Anwendern erfolgen.
Info: Weitere Details wurden hier veröffentlicht: https://blog.checkpoint.com/research/tax-season-2026-how-cyber-criminals-are-preparing-their-attacks-months-in-advance/
#CheckPoint
