Betrug: Phishing-Mails und falsche SMS von Ministerien und Behörden

Stand:
Aktuelle Entwicklungen machen sich Kriminelle schnell zu Nutze. So auch zu den Themen Inflation, Energiekrise und nationale Sicherheit. Der Betrug kommt per SMS, E-Mail oder auf falschen Internetseiten. In diesem Artikel warnen wir vor verschiedenen aktuellen Betrugsmaschen.
Düstere Schwarz-Weiß-Aufnahme eines Mannes, der vor einem Laptop sitzt

Das Wichtigste in Kürze:

  • Kriminelle verschicken E-Mails im Namen verschiedener Ministerien, Behörden und anderer bekannter Einrichtungen.
  • Dabei versuchen sie nicht nur Geld zu erbeuten, sondern auch Identitäten zu stehlen.
  • Achten Sie bei unerwartet erhaltenen E-Mails immer auf die Absende-Adresse! Klicken Sie nicht unbedacht auf Links und antworten Sie nicht auf die Nachrichten!
  • Fragen Sie im Zweifel bei der tatsächlichen Behörde, Einrichtung oder Firma nach!
On

An die Adresse phishing@verbraucherzentrale.nrw des Phishing-Radars können Sie uns E-Mails weiterleiten, bei denen Sie von Betrugsversuchen ausgehen. Durch die Zusendungen erkennen wir aktuelle Betrugsmaschen und warnen davor.

Elster: Betrügerische App

(Stand: 11. Oktober 2024) Mit dem Betreff "Ihr Digitales Zertifikat - Handlungsbedarf" kommt eine E-Mail, die zur Installation der App "ElsterSecure+" auffordert. "Die App dient der sicheren Authentifizierung und dem Schutz Ihrer sensiblen Daten im Rahmen der digitalen Steuerkommunikation", heißt es in der Nachricht. Das ist allerdings eine erfundene Behauptung. Die vorgestellte App dürfte Ihrem Smartphone eher schaden, falls Sie sie darauf installieren. Denn die echte Elster-App zur Authentifizierung heißt "ElsterSecure" (ohne +). Außerdem gibt es die App "MeinELSTER+" zum Erfassen von Belegen.

Wir haben nicht getestet, was die hier angebotene App tatsächlich macht. Es ist wahrscheinlich, dass sie zum Beispiel auf Ihr Telefonbuch zugreifen und die gespeicherten Kontaktdaten stehlen will. Denkbar wäre auch, dass sie Ihren Bildschirm überwacht und eingetippte Login-Daten aufzeichnet und an Kriminelle sendet. Klicken Sie also keinesfalls auf den Button "Zum Prozess"! Falls Sie es doch versehentlich gemacht haben, installieren Sie keine App, wenn Sie dazu aufgefordert werden!

Screenshot einer Phishing-Mail, die zum Download einer App namens "ElsterSecure+" auffordert.

Elster: Steuerrestbetrag aus 2022 und 2023

(Stand: 13. Mai 2024) Mit der allgemeinen Begrüßung "Sehr geehrter Kunde" wird eine E-Mail verschickt, die der vom Anfang dieses Jahres ähnelt. Die neue Variante enthält einen Button mit der Beschriftung "Zum Formular". Nicht antippen oder anklicken! Dadurch würden Sie auf eine Seite von Kriminellen gelangen, die Ihre persönlichen Daten stehlen wollen.

(Stand: 5. Januar 2024) Mit dem Betreff "Letztmalige Aufforderung - Steuerrestbetrag aus dem Jahre 2022" wird man darüber informiert, einen Steuerrestbetrag aus 2022 fordern zu können. In der E-Mail ist das Logo der deutschen Steuerabwicklungssoftware ELSTER zu sehen.

Die E-Mail beginnt mit einer persönlichen Anrede und auch die Aufmachung wirkt zunächst seriös. Das wird auch durch die angezeigte und verlinkte Internet-Adresse https:// www. elster .de vorgegaukelt. Das ist aber nur angezeigter Text – der tatsächliche Link führt auf eine Seite von Kriminellen, die persönliche Daten abfragen. Die können sie dann zum Beispiel für Identitätsdiebstahl missbrauchen.

Das Thema steuern bereitet vielen Menschen Sorgen und daher könnte man leichter dazu verleitet werden, nichts falsch machen zu wollen. Bei E-Mails sollten Sie aber immer genau auf den Absender achten, der bei Phishing-Mails in der Regel gar nicht zum Inhalt der Nachricht passt. Diese E-Mail sollten Sie unbeantwortet in den Spam-Ordner verschieben!

Für den Fall, dass Sie Ihre Steuererklärungen mit Elster bearbeiten, melden Sie sich auf der echten Elster-Seite an und prüfen Sie dort, ob Sie Nachrichten haben. Dort finden Sie ebenfalls Informationen über Merkmale echter Elster-Mails.

Screenshot einer Phishing-Mail, die angeblich vom deutschen Steuerportal "Elster" stammt.

Ermittlung der Polizei

(Stand: 16. November 2023) Schon seit langem gibt es E-Mails, die angeblich von der Polizei oder einer Ermittlungsbehörde stammen und über einen angeblichen "Strafbefehl", Haftbefehl oder ein angebliches Ermittlungsverfahren informieren. Es gibt hin und wieder Nachfragen bei uns, ob solche E-Mails echt sein können. Nein, können sie nicht! Anhand dieses Beispiels erklären wir, warum:

Screenshot einer Phishing-Mail mit Logo der Bundespolizei

Oben sieht man ein Logo der Bundespolizei. Darunter steht, die E-Mail komme angeblich vom Justizministerium und vom Amtsgericht München. Das sind schon mal drei unterschiedliche Behörden bzw. Einrichtungen. Im Text wird behauptet, Holger Münch habe ihn unterzeichnet. Er sei Präsident des Bundeskriminalamts, was tatsächlich stimmt. Damit ist eine vierte Behörde im Spiel. Unten in der E-Mail wird Holger Münch allerdings als Polizeidirektor bezeichnet – bei der "Brigade für den Jugendschutz". Bei der deutschen Polizei gibt es keine Brigaden.

Im Text heißt es: "Wir übermitteln Ihnen diesen Haftbefehl". Ein eindeutiger Hinweis auf Blödsinn, denn Haftbefehle werden nie per E-Mail verschickt. Gibt es wirklich einen Haftbefehl, steht die Polizei in der Regel direkt vor der Tür. Außerdem werden in der E-Mail angebliche Artikel aus der Strafprozessordnung genannt. Die hat aber gar keine Artikel, sondern Paragraphen (§). Und "das Gesetz 3903 der Strafprozessordnung" gibt es auch nicht.

Schließlich soll man auch noch selbst eine E-Mail an "Holger Münch" schreiben, damit er mitteilen könne, "wie Sie weiter vorgehen sollen". Die E-Mail-Adresse hat in diesem Beispiel die Endung gmail .com, ist also eine kostenfrei erhältliche beim E-Mail-Dienst von Google. Kein Ministerium, kein Amt, kein Gericht und keine Polizei arbeitet mit solchen E-Mail-Adressen!

Vieles deutet darauf hin, dass der Inhalt der E-Mail ursprünglich für ein anderes Land erstellt wurde, in einer anderen Sprache verfasst und schlecht übersetzt wurde. Etwas seriöser – zumindest in ihrem Erscheinungsbild – wirken viele der folgenden Beispiele.

Rückerstattung des Bundesministeriums der Finanzen

(Stand: 8. September 2023) Indem sie mit angeblichen Steuerrückerstattungen locken, wollen Kriminelle an persönliche Daten gelangen. In einer E-Mail verwenden sie unerlaubt das Logo des Bundesministeriums der Finanzen und schreiben unter anderem folgenden Text:

"Sehr geehrte/r Bürger/in,
Basierend auf den neuesten Berechnungen Ihrer steuerpflichtigen Aktivitäten der letzten 3 Jahre (2020-2021-2022) haben wir festgestellt, dass Sie Anspruch auf eine Steuerrückerstattung in Höhe von 925,42€ haben. Bitte klicken Sie auf den untenstehenden Link, um Ihre Rückerstattung anzufordern." Angeblich habe man für die Anforderung der Rückerstattung nur 72 Stunden Zeit.

Der Link ist beschriftet mit dem Text "Rückerstattung anfordern". Hält man den Mauszeiger oder Finger eine zeitlang darauf, wird bei den meisten Mail-Programmen die Internetadresse angezeigt, zu der der Link führt. Es ist keine Adresse des Finanzministeriums oder eines Finanzamts! Öffnen Sie deshalb nicht die verlinkte Internetseite!

In einigen Fällen hängt auch eine PDF-Datei an der E-Mail. Diese sollten Sie auf keinen Fall öffnen!

Ermittlung des Finanzministeriums wegen angeblichen Steuerbetrugs

(Stand: 17. August 2023) Das Bundesministerium der Finanzen ermittle angeblich wegen Steuerbetrugs. Das soll diese E-Mail ausdrücken, die mit dem Betreff "Steuerbescheid Weitergeleiteter Fall KT_478" beginnt. Der Inhalt ist verwirrend und enthält offensichtlich Übersetzungsfehler: "Die Generaldirektorin Finanzen, vertreten durch Frau Liz FRIET [...] sendet Ihnen diese E-Mail, um Sie darüber zu informieren, dass gegen Sie mehrere Beschwerden wegen Steuerbetrugs vorliegen." Man soll gegen Artikel 156 bis 168 des französischen Steuerrechts verstoßen haben. Dann wird mit bis zu fünf Jahren Haft und einer Geldstrafe von 500.000 Euro gedroht. Sollte man nicht innerhalb von 48 Stunden den Betrag von 5.108 Euro zahlen (dieser Betrag ist in den E-Mails unterschiedlich), müsse die Akte "an den Auktionator" weitergeleitet werden. Um die Bankdaten für die Zahlung zu erhalten, soll man eine Nachricht senden.

Untypisch ist, dass es keinen Link auf eine betrügerische Internetseite gibt. Es wird auch nicht erklärt, wie und an wen man eine Nachricht zum Erfahren der Bankdaten senden soll.

Screenshot einer Phishing-Mail mit Logo des Bundesfinanzministeriums, in der es heißt, dass gegen den Empfänger wegen Steuerbetrugs ermittelt werde.

Personalausweis und Video zur Identifizierung beim Innenministerium

(Stand: 8. August 2023) Mit dem Bundesadler und dem offiziellen Titel "Bundesministerium des Innern und für Heimat" wird eine E-Mail verschickt, in der behauptet wird, dass das Ministerium die Identität prüfen müsse. Dazu soll man auf einen Link klicken, der beschriftet ist mit den Worten: "Bestätige meine Identität!". Er führt auf eine ausländische Internetseite, die nicht vom Ministerium stammt und von diesem auch nicht betrieben wird.

In der E-Mail wird erklärt, was man machen soll: Fotos der Vorder- und Rückseite des Personalausweises hochladen sowie ein kurzes Video von sich selbst, auf dem das Gesicht zu erkennen ist. Das alles sei nötig "im Rahmen unserer dauerhaften Maßnahmen zur Stärkung der Sicherheit der Bürger".

Klicken Sie nicht auf den Link und laden Sie erst recht keine sensiblen Daten wie Ausweiskopien oder Ausweisfotos und Videos von sich auf unseriösen Seiten hoch! Auch wenn es in der E-Mail scheinheilig heißt, dass "alle Informationen mit größter Vertraulichkeit behandelt und nur zu Überprüfungszwecken verwendet werden", ist davon auszugehen, dass die Nachricht nur einen Zweck verfolgt: Ihre Identität zu stehlen und mit Ihren Daten weitere Straftaten zu begehen.

Screenshot einer E-Mail, die zum Fotografieren und Versenden des Personalausweises auffordert und angeblich vom Bundesinnenministerium stammt. Diese Mail ist ein Betrugsversuch!

Personalausweis für Guthaben-Auszahlung des Gesundheitsministeriums

(Stand: 12. Juni 2023) Beim Bundesministerium für Gesundheit stehe angeblich eine Erstattung von mehreren hundert Euro bereit. Um sie zu erhalten, soll man den eigenen Personalausweis kopieren und unverschlüsselt per E-Mail versenden. Dass die E-Mail nicht vom Ministerium stammen kann, ist schon an der Absenderadresse zu erkennen. Außerdem würde kein Ministerium und keine Behörde dazu auffordern, Kopien wichtiger Dokumente unverschlüsselt per E-Mail zu schicken. Reagieren Sie nicht auf E-Mails wie diese!

Die E-Mail-Adresse, an die man die Ausweiskopie schicken soll, soll durch "bundesministerium-erstattung" Vertrauen erwecken. Doch entscheidend ist, was hinter dem @ steht. In diesem Fall "faedo", was nichts mit einem Bundesministerium zu tun hat.

Mit Ausweis-Kopien sind zahlreiche Straftaten durch Identitätsdiebstahl möglich. Deshalb sollten Sie niemals derart wichtige Dokumente leichtsinnig per E-Mail versenden!

Screenshot einer E-Mail, die zum Einscannen und Versenden einer Ausweiskopie auffordert und angeblich vom Bundesgesundheitsministerium stammt. Diese Mail ist ein Betrugsversuch!

Angebliches Förderprogramm "NextGenerationEU"

(Stand: 20. April 2023) Mit einem Bundesadler und den Farben der deutschen Flagge versehen kommt ein Betrugsversuch per E-Mail, in dem Kriminelle als Absender das Bundesfinanzministerium vorgaukeln. Angeblich könne man im Rahmen eines 750 Milliarden Euro umfassenden Maßnahmenpakets namens "NextGenerationEU" eigenes Kapital in einen "digitalen Euro" umschichten. Das werde mit einer Förderung von 29 Prozent auf die getätigte Einlage unterstützt und soll die Kaufkraft erhalten. Bei dieser Behauptung nutzen die Kriminellen den Namen eines tatsächlich existierenden Wiederaufbauprogramms der EU aus, dichten ihm aber weitere Funktionen hinzu.

Angeblich sei das Förderprogramm exklusiv für "sorgfältig ausgewählte Teilnehmer". Deshalb ist am Ende der E-Mail eine Kombination aus Zahlen und Buchstaben als "persönlicher Zugangsschlüssel" angegeben. Der ist allerdings bisher in allen an uns weitergeleiteten E-Mails der gleiche.

Der Link in der E-Mail führt auf eine Internetseite, die optisch so gestaltet ist, dass sie tatsächlich eine Seite des Finanzministeriums sein könnte. Allerdings weist die Internetadresse "bundesminsiterium-der-finanzen .com" auf den Betrug hin. Der Tippfehler im Wort "Bundesministerium" ist in der tatsächlichen Adresse der Betrugsseite vorhanden.

In seinem Online-Ratgeber Internetkriminalität zeigt das Landeskriminalamt Niedersachsen weitere Details zu diesem Betrugsversuch. Wir raten wie üblich dazu, die E-Mail nicht zu beachten. Antworten Sie nicht darauf und klicken Sie nicht auf enthaltene Links!

Screenshot einer Phishing-Mail mit Bezug zur Inflation, über die man das eigene Geld angeblich über das "NextGenerationEU"-Programm retten könne.

Angebliches Förderprogramm der KfW

(Stand: 22. Februar 2023) Die Kreditanstalt für Wiederaufbau (KfW) bietet verschiedene Förderprogramme für Privatpersonen an. Allerdings gibt es dort kein "Inflationsschutz-Förderprogramm", wie es in E-Mails mit dem KfW-Logo behauptet wird. Diese E-Mails haben allerdings Kriminelle verfasst, die damit an persönliche Daten kommen wollen. Im Text behaupten sie, man können sich auf einer Internetseite gegen die bevorstehenden Kostensteigerungen absichern. Ein Button "Jetzt Antrag stellen" führt auf diese Seite. Sie gehört jedoch nicht zur KfW! Deshalb sollten Sie keinesfalls auf den Link klicken, denn die Behauptungen einer solchen Förderung sind frei erfunden. Falls Sie Daten auf der verlinkten Internetseite eingeben, könnten sie für kriminelle Zwecke missbraucht werden. Beispiel:

Screenshot einer Phishing-Mail, die angeblich von der KfW stammt.

Gefälschte Internetseiten der Bundesnetzagentur

(Stand: 21. Dezember 2022) Es gibt kein staatliches Förderprogramm, über das man einen günstigeren Gaspreis erhält! Die Bundesnetzagentur warnt vor gefälschten Internetseiten, die genau das versprechen. Dort soll man persönliche Daten, Kontodaten und Kreditkartennummern eingeben. Doch die Seiten stammen nicht von der Bundesbehörde, sondern werden von Kriminellen betrieben. Mit den eingegebenen Daten könnten sie zum Beispiel Konten plündern oder auf Kosten der Opfer einkaufen.

Im Phishing-Radar der Verbraucherzentrale NRW sind bereits im September E-Mails aufgefallen, die angeblich von der Sparkasse stammt. Empfänger:innen sollen dazu gebracht werden, eine betrügerische Internetseite zu öffnen und persönliche Daten einzutippen. Auch per SMS wollen Betrüger:innen an personenbezogene Daten kommen. Beide Male wird behauptet, dass man erst dadurch die Energiepauschale der Bundesregierung erhalten könne. Das ist reiner Blödsinn!

Phishing-Mails mit Sparkasse-Logo

Seit Anfang Dezember haben Kriminelle versucht, an personenbezogene Daten zu kommen. Sie haben in E-Mails das Sparkasse-Logo verwendet und behauptet, das Geldinstitut würde eine von der Regierung beschlossene Energiepauschale in Höhe von 500 Euro auszahlen, "um den kommenden Winter und die damit einhergehenden Kosten gut zu überstehen". Unter anderem schrieben die Betrüger:innen in ihrer Nachricht: "Um eine Auszahlung der Pauschale sicherstellen zu können, bitten wir Sie nun um eine Bestätigung ihrer angegebenen Daten. Gleichzeitig halten wir so Ihre Angaben aktuell und bereiten Sie auf die baldige Abschaltung unseres bisherigen Anmeldeverfahrens vor." Beispiel:

Screenshot einer E-Mail mit Sparkasse-Logo

Schon im September gab es solche E-Mails mit ähnlichem Inhalt. Den Anfang machten Kriminelle auch mit dem Sparkasse-Logo, setzten aber kurz darauf auch Logos anderer Banken in ihren Phishing-Mails ein. Beispiel:

Phishing Sparkasse mit Energiepauschale-Bezug

In dieser Phishing-Mail wird erklärt, wer die Energiepauschale aus dem Entlastungspaket der Bundesregierung erhält. Anders als oft üblich, ist die betrügerische Mitteilung nahezu ohne Rechtschreibfehler und in guter Grammatik geschrieben. Um Empfänger:innen zum Anklicken des Links auf eine falsche Sparkasse-Internetseite zu bewegen, heißt es in der E-Mail: "Um Ihre Identität sowie den Anspruch auf eine Auszahlung feststellen zu können, benötigen wir eine Bestätigung Ihrer bereits angegebenen Daten bei der Erstellung Ihres Girokontos in einer unserer Filialen." Erst dann soll es "in den nächsten vier Wochen Ihre Auszahlung der Energiepauschale" geben.

Fallen Sie nicht auf diesen Trick herein! Keine Bank oder Sparkasse muss Daten zur Auszahlung der Energiepauschale prüfen. Die Auszahlung erfolgte im September über Ihren Lohn oder Ihr Gehalt. Die Hilfe beim Heizkostenabschlag für Dezember 2022 erhalten Sie direkt vom Energielieferanten oder im Rahmen der Nebenkostenabrechnung (falls Sie zur Miete wohnen). 

Falsche SMS des Finanzministeriums

Auch per SMS versuchen Kriminelle, Ahnungslose auf dubiose Internetseiten zu locken und Daten abzugreifen. In diesem Fall spricht man von Smishing (Zusammengesetzt aus den Begriffen SMS und Phishing). Beispiel so einer SMS aus Dezember 2022:

Screenshot einer SMS, die angeblich vom Bundesfinanzministerium stammt

"(Bundesministerium der Finanzen) Sie müssen noch einen Betrag von 254,33 erhalten. Verifizieren Sie sich und erhalten Sie den Betrag per: https:// ruckkehr .biz/index5.php"

Andere Formulierungen so einer SMS lauten (inkl. Schreibfehlern):

  • "Die Regierung hat beschlossen dass Sie eine Erstattung von €278,35 erhalten werden. Hier klicken, um die Zahlung zu erhalten. cutt .ly/erstattung-"
  • "[Bundesministerium der Finanzen] Ihnen steht noch ein ausstehender betrag von 269,30 EUR zur Verfügung. Clicken sie hier: ihrerueckerstattung .com"

Außerdem werden auch immer wieder SMS verschickt, die angeblich vom Finanzamt stammen. Beispiele davon zeigen wir in diesem Artikel.

Die Leerschritte in den Internet-Adressen haben wir absichtlich gesetzt, damit Ihr Browser nicht automatisch einen Link erzeugt und Sie möglicherweise versehentlich auf die Betrugsseite gelangen.

Schützen Sie sich vor Betrug!

  • Wenn Sie eine Nachricht erhalten, über die Sie Ihre Daten zur Auszahlung der Energiepauschale angeben sollen, folgen Sie keinem darin enthaltenen Link!
  • Antworten Sie nicht auf die Nachricht!
  • Kennzeichnen Sie solche E-Mails als Spam oder verschieben Sie sie in den Spam-Ordner!
  • Wenn Sie eine vergleichbare Aufforderung per SMS bekommen, ignorieren Sie sie und sperren Sie die Absendernummer.

Wenn Sie Daten eingegeben haben

Haben Sie doch Ihre Daten auf einer verlinkten Internetseite eingegeben, ist nicht abzuschätzen, was die Kriminellen damit anstellen. Es gibt zahlreiche Möglichkeiten für Identitätsdiebstahl, der von einfachen Internet-Bestellungen auf Ihre Rechnung bis zu kriminellen Geschäften in Ihrem Namen reichen. Vorsorglich sollten Sie Anzeige bei der Polizei erstatten – vor allem, wenn Sie ungewöhnliche Geld-Abbuchungen feststellen oder Rechnungen für nicht bestellte Waren und Dienstleistungen erhalten. In solchen Fällen können Ihnen auch die Fachleute Ihrer Verbraucherzentrale in einer Beratung helfen.

Ratgeber-Tipps

Ratgeber Photovoltaik
Wer ein Stück weit unabhängig von den Preiskapriolen der Energieversorger werden will, kümmert sich um die Anschaffung…
Handbuch Pflege
Als pflegebedürftig gelten Menschen, die wegen einer Krankheit oder Behinderung für mindestens sechs Monate Hilfe im…
Ein Mann hält ein Smartphone in der Hand und tippt mit dem Zeigefinger darauf.

bonify-App: Datenschutz im Auge behalten

Was ist die neue bonify-App und wie will die App Menschen dabei unterstützen, die eigene Kreditwürdigkeit zu verbessern? Wir beantworten die wichtigsten Fragen und erläutern, warum wir das kritisch sehen.
Schmuckbild

Abzocke auf online-wohngeld.de: Hier wird kein Wohngeld beantragt!

Auf der Website online-wohngeld.de könnten Verbraucher:innen den Eindruck bekommen, dass sie dort Wohngeld beantragen können. Das ist jedoch nicht der Fall und kostet auch noch Geld!

Musterfeststellungsklage gegen Kreissparkasse Stendal

Die Kreissparkasse Stendal hat vielen Prämiensparern nach Ansicht der Verbraucherzentrale jahrelang zu wenig Zinsen gezahlt. Deshalb klagt der vzbv für die Kund:innen der Sparkasse Klage. Kunden:innen sollen ihre Zinsen in der Höhe erhalten, die ihnen zusteht.

Der vzbv führt die Verfahren vor dem Bundesgerichtshof (BGH) nicht weiter. Kund:innen können die ihnen zustehenden Zinsen nun einfordern.