Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „ELSTER“

Verifizierung Ihres Kontos für die Einkommensteuer-Rückzahlung erforderlich

Dienstag, 1. Juli 2025

Von: ELSTERIhr Online-Finanzamt <noreply@elster.de>

Da hat sich der Spammer gesagt: „Schreibe ich doch mal einen überzeugend aussehenden Absender rein“. Zu schade, dass SPF dafür sorgt, dass die Spam dann garantiert als Spam aussortiert wird, wenn er sie über die IP-Adresse eines US-amerikanischen Hostingdienstleisters (Abuse-Mail ist schon draußen) versendet. Aber man kann ja auch nicht jeden Tag Glück beim Denken haben.

Bescheide des Finanzamtes kommen natürlich immer mit der Sackpost und niemals in einer unverschlüsselten und nicht digital signierten E-Mail. Allein schon wegen des gesetzlich vorgeschriebenen Datenschutzes und wegen des Steuergeheimnisses.

ELSTER

Das steht schon im Absender.

Eine Mitteilung der Bundesbehörde.

Die Finanzämter sind in der Bundesrepublik Deutschland aber Landesbehörden.

Sehr geehrter Kunde,

Genau mein Name!

Na, fühlt ihr euch beim Finanzamt auch immer wie Kunden? Und nicht wie… ähm… störende Bittsteller vor einer kalten und oft etwas dummen Maschinerie zum Eintreiben des Geldes, das dann in die alldurchwaltende Korruption der BRD fließt?

Um die Rückzahlung Der Einkommensteuer zu erhalten, müssen Sie Ihr Konto verifizieren, damit wir den vollen Betrag auf das richtige Konto überweisen können.

Wie hoch ist er denn, der volle Betrag? Und wo ist der zugehörige Bescheid? Wann wurde er mir zugestellt? Und für welche Steuernummer ist er?

Kein Finanzamt in der BRD würde so einen Text schreiben wie dieser Spammer. Man kann viel schlechtes über die Verwaltung in der BRD sagen, aber ihre Kommunikation ist niemals so nebulös.

Zum Dokument

Wer da klickt, lasse alle Hoffnung fahren!

$ lynx -source "https://scanned.page/68626f761e1b4"
<!doctype html><html lang="en"><head><meta charset="utf-8"/><link rel="icon" href="/favicon.png"/><meta name="viewport" content="width=device-width,initial-scale=1"/><meta name="theme-color" content="#ffffff"/><link rel="apple-touch-icon" href="/favicon.png"/><link rel="manifest" href="/manifest.json"/><title></title><script>const manifestElement=document.querySelector('[rel="manifest"]'),icon=document.querySelector('[rel="icon"]'),appleIcon=document.querySelector('[rel="apple-touch-icon"]');var domain="sp";const setAttributes=(e,t,n)=>{manifestElement&&manifestElement.setAttribute("href",e),icon&&icon.setAttribute("href",t),appleIcon&&appleIcon.setAttribute("href",n)};"sp"===domain?setAttributes("/manifest.json","/favicon.png","/favicon.png"):"qcc"===domain&&setAttributes("/qci/manifest.json","/qci/favicon.png","/qci/favicon.png")</script><script defer="defer" src="/static/js/main.ed55047f.js"></script><link href="/static/css/main.c6e9a545.css" rel="stylesheet"><script data-cfasync="false" nonce="db15d7e8-bd05-415b-ab5d-725e7b914243">try{(function(w,d){!function(fv,fw,fx,fy){if(fv.zaraz)console.error("zaraz is loaded twice");else{fv[fx]=fv[fx]||{};fv[fx].executed=[];fv.zaraz={deferred:[],listeners:[]};fv.zaraz._v="5858";fv.zaraz._n="db15d7e8-bd05-415b-ab5d-725e7b914243";fv.zaraz.q=[];fv.zaraz._f=function(fz){return async function(){var fA=Array.prototype.slice.call(arguments);fv.zaraz.q.push({m:fz,a:fA})}};for(const fB of["track","set","debug"])fv.zaraz[fB]=fv.zaraz._f(fB);fv.zaraz.init=()=>{var fC=fw.getElementsByTagName(fy)[0],fD=fw.createElement(fy),fE=fw.getElementsByTagName("title")[0];fE&&(fv[fx].t=fw.getElementsByTagName("title")[0].text);fv[fx].x=Math.random();fv[fx].w=fv.screen.width;fv[fx].h=fv.screen.height;fv[fx].j=fv.innerHeight;fv[fx].e=fv.innerWidth;fv[fx].l=fv.location.href;fv[fx].r=fw.referrer;fv[fx].k=fv.screen.colorDepth;fv[fx].n=fw.characterSet;fv[fx].o=(new Date).getTimezoneOffset();if(fv.dataLayer)for(const fF of Object.entries(Object.entries(dataLayer).reduce(((fG,fH)=>({…fG[1],…fH[1]})),{})))zaraz.set(fF[0],fF[1],{scope:"page"});fv[fx].q=[];for(;fv.zaraz.q.length;){const fI=fv.zaraz.q.shift();fv[fx].q.push(fI)}fD.defer=!0;for(const fJ of[localStorage,sessionStorage])Object.keys(fJ||{}).filter((fL=>fL.startsWith("_zaraz_"))).forEach((fK=>{try{fv[fx]["z_"+fK.slice(7)]=JSON.parse(fJ.getItem(fK))}catch{fv[fx]["z_"+fK.slice(7)]=fJ.getItem(fK)}}));fD.referrerPolicy="origin";fD.src="/cdn-cgi/zaraz/s.js?z="+btoa(encodeURIComponent(JSON.stringify(fv[fx])));fC.parentNode.insertBefore(fD,fC)};["complete","interactive"].includes(fw.readyState)?zaraz.init():fv.addEventListener("DOMContentLoaded",zaraz.init)}}(w,d,"zarazData","script");window.zaraz._p=async eC=>new Promise((eD=>{if(eC){eC.e&&eC.e.forEach((eE=>{try{const eF=d.querySelector("script[nonce]"),eG=eF?.nonce||eF?.getAttribute("nonce"),eH=d.createElement("script");eG&&(eH.nonce=eG);eH.innerHTML=eE;eH.onload=()=>{d.head.removeChild(eH)};d.head.appendChild(eH)}catch(eI){console.error(`Error executing script: ${eE}\n`,eI)}}));Promise.allSettled((eC.f||[]).map((eJ=>fetch(eJ[0],eJ[1]))))}eD()}));zaraz._p({"e":["(function(w,d){})(window,document)"]});})(window,document)}catch(e){throw fetch("/cdn-cgi/zaraz/t"),e;};</script></head><body><noscript>You need to enable JavaScript to run this app.</noscript><div id="root"></div><script defer src="https://static.cloudflareinsights.com/beacon.min.js/vcd15cbe7772f49c399c6a5babf22c1241717689176015" integrity="sha512-ZpsOmlRQV6y907TI0dKBHq9Md29nnaEIPlkf84rnaERnq6zvWvPUqr2ft8M1aS28oN72PdrCzSjY4U6VaAw1EQ==" data-cf-beacon='{"rayId":"95853aef1e74bbcc","serverTiming":{"name":{"cfExtPri":true,"cfEdge":true,"cfOrigin":true,"cfL4":true,"cfSpeedBrain":true,"cfCacheStatus":true}},"version":"2025.6.2","token":"105c7571b60743aba1e456971e3636d0"}' crossorigin="anonymous"></script>
</body></html>
$ _

Ich habe gerade keine Lust, mich bei übertrieben sommerlichen Außentemperaturen länger als eine Viertelstunde durch diesen Wust durchzuhangeln und wünsche allen Menschen, die vor lauter Vorfreude aufs Geld in eine recht dumm formulierte Spam geklickt haben, viel Glück. Sie werden es brauchen. Bei dem teilweise sehr verwurschtelten Javascript, das dann nach dieser schon sehr kryptischen Weiterleitung der Geschmacksrichtung „Cloudflare“ folgt, würde ich es niemals ausschließen, dass es auch eine „kostenlose Sicherheitsprüfung“ des Computers und der darauf installierten Software gibt, inklusive Installation einer so aktuellen Kollektion von Schadsoftware, dass auch ein so genanntes „Antivirusprogramm“ machtlos ist. Alles, was man dafür braucht, kann sich jeder aufgeweckte Elfjährige in den dunklen Ecken des Internet gegen Gewinnbeteiligung as a service besorgen. Ja, es gibt kriminelle Dienstleister für Trickbetrug und Schadsoftware, die im Hintergrund bleiben, sich mit einem Anteil begnügen und andere die deutlich gefährlichere Drecksarbeit machen lassen. Deshalb klickt man ja auch nicht in eine Mail! Denn nicht in Mail zu klicken schützt vor Phishing, einer der ältesten und immer noch häufigsten Trickbetrugsmaschen im Internet. Und es schützt vor Schadsoftware, die mit vergleichbaren psychischen Hebeln transportiert wird. Nicht in E-Mail zu klicken ist eine wichtige „Cyberabwehr“, die funktioniert. Der Adblocker im Webbrowser ist doch hoffentlich längst eine Selbstverständlichkeit, oder? Der funktioniert nämlich auch sehr gut.

Ich klicke übrigens auch nicht in E-Mail, außer, mir ist völlig klar, wer der Absender ist und dass dieser Absender vertrauenswürdig ist. In den meisten Fällen, wo jemand nicht gerade einen sehr markanten und unverwechselbaren Stil beim Schreiben hat, heißt das: Ich prüfe digitale Signaturen. Und wenn da keine sind, was auch im Jahr 2025 immer noch der Standard ist, dann fasse ich Links aus einer Mail nur mit der Kneifzange an, statt sie direkt zu öffnen. Oder ich rufe kurz an, ob die Mail echt ist…

Warum ich von Elfjährigen spreche? Weil ein erfahrener Betrüger, dessen Gehirn gerade nicht im Stromsparmodus läuft, niemals versucht hätte, eine falsche Absenderadresse in einer Domain…

$ host -t TXT elster.de
elster.de descriptive text "v=spf1 mx include:_spf.blk1.elster.de include:_spf.blk2.elster.de include:_spf.blk3.elster.de include:_spf.blk4.elster.de include:_spf.blk5.elster.de include:_spf.blk6.elster.de include:_spf.blso.elster.de ~all"
elster.de descriptive text "MS=7B184F7133FA6F4419018914042F2C9A28CF6472"
$ _

…mit SPF anzugeben. Das kommt nicht einmal durch die primitivsten Spamfilter dieser Welt hindurch. Und deshalb macht das auch kein erfahrener Krimineller. Die leben ja davon, dass ihr gefährlicher und/oder betrügerischer Müll überhaupt oft genug ankommt, damit sich die Naiven und sorglos Überrumpelbaren finden, die immer noch darauf reinfallen.

ELSTER ®

Nein, diese diebische Elster hat damit nichts zu tun. Hier schreiben richtige Verbrecher. 😉️

Einkommensteuer-Rückzahlung: Bitte verifizieren Sie Ihr Konto

Donnerstag, 12. Juni 2025

⚠️ Diese Mail kommt nicht von Elster und nicht von einem Finanzamt der Bundesrepublik Deutschland. Es ist eine Spam. Nicht darauf reinfallen! ⚠️

Von: noreply@elster.de
An: gammelfleisch@tamagothi.de

Die Absenderadresse ist gefälscht. Die E-Mail wurde in Wirklichkeit über die IP-Adresse eines Hosting-Dienstleisters aus den USA versendet, der hoffentlich Vorkasse genommen hat, denn sonst wird er von diesen Betrügern kein Geld mehr sehen.

Natürlich wurde diese Mail allein wegen gescheiterter SPF-Überprüfung in den Müll sortiert, und das sollte auch überall so laufen. Klar, DKIM scheitert auch. Wenn ich nicht so neugierig wäre, was sich im Spamfilter verfängt, hätte ich diesen Phishingversuch gar nicht erst gesehen. 😉️

ELSTER

Eine Mitteilung der Bundesbehörde.

Oh, eine Bundesbehörde, die eine Elster ist? 🤭️

Sehr geehrter Kunde,

Und dann kennt die nicht einmal meinen Namen oder gar meine Steuernummer? Stattdessen spricht sie mich als „Kunden“ an? Na, ist hier schon einmal jemand von seinem Finanzamt als „Kunde“ angesprochen worden?

Um die Rückzahlung Der [sic!] Einkommensteuer zu erhalten, müssen Sie Ihr Konto verifizieren, damit wir den vollen Betrag auf das richtige Konto überweisen können.

Zum Dokument

Natürlich führt der Link weder zu einer Elster noch zu einem Finanzamt, es ist ja eine Spam – und wer darauf geklickt, hat den Spammern zudem noch mitgeteilt, dass die Spam angekommen ist, gelesen wurde und sogar beklickt wurde. Ich kann das hier nur so freizügig untersuchen, weil es eine eh schon spamverseuchte Mailadresse betrifft:

$ mime-header "https://t.dripemail2.com/c/eyJhY2NvdW50X2lkIjoiMzY2MzI3NCIsImRlbGl2ZXJ5X2lkIjoiMGhqd240cWJpeW5xa3pkMXB1dW8iLCJ1cmwiOiJodHRwczovL3d3dy1lbHN0ZXIuYXV0aC1udmlkZW50aWZpYW50LmNvbS8ifQ"
HTTP/1.1 307 Temporary Redirect
Date: Thu, 12 Jun 2025 10:20:33 GMT
Content-Length: 0
Connection: close
Location: https://www-elster.auth-nvidentifiant.com/
$ surbl www-elster.auth-nvidentifiant.com
www-elster.auth-nvidentifiant.com	okay
$ dig auth-nvidentifiant.com | grep -v "^;" | grep IN
auth-nvidentifiant.com.	521	IN	SOA	clayton.ns.cloudflare.com. dns.cloudflare.com. 2375034244 10000 2400 604800 1800
$ _

Alle Daten, die man auf der verlinkten Website angibt, gehen direkt an Trickbetrüger. Die lustige Domain der Phisher steht leider noch nicht auf allen einschlägigen Blacklists, so dass man von Sicherheitsschlangenöl im Webbrowser nicht gewarnt wird. Die Verbrecher sind eben immer ein bisschen voraus, man kann sich auf so einen Schutz nicht verlassen. Allerdings haben die Betrüger ihr DNS über Cloudflare gemacht, und ich weiß aus Erfahrung, dass Cloudflare recht schnell tätig wird, wenn man ihnen eine Abuse-Meldung wegen Phishing oder Vorschussbetrug, den beiden häufigsten Trickbetrugsformen im gegenwärtigen Internet, schickt. Schon jetzt wird wohl jeder eine Warnung sehen, dass die Seite wegen Phishingverdachts gemeldet wurde, wenn er auf den Link aus dieser Spam klickt – und müsste sich explizit weiterklicken, um zur betrügerischen Website zu kommen. Nicht vollkommen, aber besser als nichts. Es kann aber auch nicht jede Klitsche so gleichgültig wie Google sein…

(Nein, ich mag Cloudflare nicht wirklich. Verstehe bitte niemand ein kleines Lob von mir als eine Reklame! Ja, die Konfigdateien für BIND 9 sind ein Krampf im Arsch, und die Syntax hat sich mutmaßlich jemand ausgedacht, der nach zwanzig Jahren als Folterknecht auch mal etwas wirklich Böses tun wollte, so dass man wirklich leicht und erstmal unbemerkt einen Fuckup allererster Güteklasse baut, was ich auch schon selbst geschafft habe, aber so schwierig ist es am Ende auch wieder nicht. Wenn gefühlt zwei Drittel der Namensauflösung im Internet über einen einzigen Anbieter laufen, ist das durchaus ein Problem.)

Aber eigentlich sollte niemand diese Spam in seinem normalen Posteingang sehen. Sie wird schon von banal konfigurierten Spamfiltern aussortiert, weil die gefälschte Mailadresse in der Domain elster (punkt) de am SPF scheitert.

ELSTER ®

Zahlungsreferenz: monisnap

So so, monisnap. Da ahnt man ja schon, dass da wohl auch ein Vorschussbetrug der Marke „Senden sie uns die Bearbeitungsgebühr über einen anonymen Dienstleister irgendwo in die weite Welt“ inszeniert werden soll. Das Problem scheint bei Moni nicht wirklich unbekannt zu sein. 😅️

Wenn man gar nicht erst in eine Mail klickt, kann einem niemand so leicht einen vergifteten Link unterschieben. Das Finanzamt kommuniziert nicht per E-Mail, es kennt die Namen der Leute, die es anschreibt und es würde eine Steuernummer nennen. Wenn man sich trotz so starker Anzeichen für einen Trickbetrug unsicher ist und nicht gleich für eine Nachfrage beim Finanzamt anrufen möchte, liefert auch eine Websuche schnell klare Warnzeichen, zum Beispiel diesen Hinweis der „Cybersicherheitsagentur“ Baden-Württemberg. Wer davon nicht genug gewarnt wird, wird vermutlich auch nicht von mir erreicht. Entschuldigt bitte meine Anführungszeichen um diese Behördenbezeichnung, aber jedes derartige Wort mit „Cyber“ finde ich dermaßen dumm, dass ich schon lange nicht mehr darüber lachen kann. Die Verbrechensformen, die man damit bezeichnet, um den verbreiteten digitalen Analphabetismus von Politik, Verwaltung und Polizeien in der Bundesrepublik Deutschland zu dokumentieren, haben nicht einmal in einem skurillen Sinn etwas mit Kybernetik zu tun. Tatsächlich ist es eine relativ neue und politikgeborene Wortschöpfung, um sprachlich die politisch erwünschte und zunehmend erzwungene Internetnutzung – diese heißt dann „digital“, „Digitalisierung“, „elektronisch“, etc. – von jenen kriminellen Nutzungsformen zu unterscheiden, denen man damit die Türen öffnet. Weil die Leute, die so reden, nicht einmal den Unterschied zwischen digitaler und analoger Technik erklären können. (Vorsicht, dieser Link zur einem unbeholfenen Sprechakt der hessischen Digitalministerin macht großes Aua im Kopf!) Und alle plappern es nach. Es ist zum Fremdschamsterben dumm.

Aber es gibt auch Lichtblicke. Das Landeskriminalamt Niedersachsen spricht stattdessen in der öffentlichen Kommunikation von Internetkriminalität, was ein viel besseres Wort ist. Die haben wohl auch schon eine ähnliche Spam gehabt, und ich zitiere hier mal aus dem den völlig vernünftigen und gut formulierten Hinweis:

Generelle Hinweise:

Sollten Sie eine Mail im Aussehen von ELSTER bekommen haben, dann haben Sie diezbezüglich zuvor auch etwas selbst initiiert (z.B. gerade Elster genutzt und Ihre Steuererklärung abgeschickt). Sollten Sie unsicher sein, so klicken Sie niemals auf einen Link einer solchen Mail. Nutzen Sie die Ihnen bekannte und echte Adresse www.elster.de bzw. https://www.elster.de/eportal/start . Alternativ steht Ihnen auch die offizielle App MeinELSTER+ vom bayerischen Landesamt für Steuern zur Verfügung. Dort können Sie auch Ihren Posteingang prüfen.

In Formularen von Elster werden Sie nicht auf diese Weise (siehe oben) kontaktiert. Lesen Sie in Ruhe den gezeigten Absender. Ggf. können Sie dort bereits die Fälschung erkennen

Klickt nicht, niemals und unter keinen Umständen in E-Mail (außer, ihr kennt den Absender persönlich und die Mail ist digital signiert oder ihr habt über einen anderen Kanal rückgefragt), und schon gar nicht, wenn es um Geld geht! Wenn ihr es doch mal getan habt, und auf einmal einen Datenstriptease machen, euch anmelden oder euch registrieren sollt, gebt nichts ein und schließt den Browsertab! Bank- und Kreditkartendaten schon gar nicht! Lasst die Betrüger einfach verhungern!

Mitteilung: Ihr Finanzamt-Ihre Steuerverwaltung. ELSTER.

Dienstag, 9. September 2014

Aber ich lebe vom Betteln und zahle überhaupt keine Steuern…

Sehr geehrte Damen und Herren, gammelfleisch@tamagothi.de.

Aha, ich habe keinen Namen. Nur eine Mailadresse

IdentNr: 245260

Aha, ich habe keine Steuernummer, sondern irgendeine obskure andere Nummer. Das mit den verschiedenen Nummern machen „die beim Finanzamt“ bestimmt, damit sie nicht so viel Überblick bekommen.

Wir laden alle natürlichen und juristischen Personen für die Überprüfung durch und folgen Sie den Anweisungen des Inland Revenue.

Aber immerhin: Ich werde durchgeladen! :mrgreen:

Folgen Sie einfach der Beschilderung zu vermeiden, sich als Person „in Gefahr“ nach dem ersten Test berichtet.

Hoffentlich ist der Gang, den ich langgehen soll, farbig markiert. Blutrot, für durchgeladene Personen in Gefahr, die mit dem Finanzamt zu tun haben. 😀

Material für die Konsultation (MR) ist vor allem für diejenigen, die Finanzdienstleistungen nutzen zu empfehlen (zB. Internet-Banking).

Also vor allem für diejenigen, der ein Konto haben. Also für jeden.

Ihre Datei finden Sie als D0C-Datei im Anhang dieser E-Mail.

Und genau das will unser kleines Spammerlein mit seinen großen Worten erreichen: Dass ich ein Dokument für Microsoft Word auf meinem Windows-Rechner öffne (den ich nicht habe). Dieses Dokument wurde mir von einem Unbekannten mit gefälschter Absenderadresse zugestellt, der in seinem hingestümperten Deutsch den Eindruck erwecken wolle, es gehe irgendwie ums Finanzamt. Oder anders gesagt: Wer dieses Dokument¹ – dessen Schadcode sich in Makros befindet – öffnet, hat verloren. Auch, wenn zurzeit nur ein Sechstel der gängigen Antivirus-Schlangenöle diesen hochgefährlichen Sondermüll als Schadsoftware erkennt.

Zum Glück ist es in diesem Fall sehr einfach, die Spam als Spam zu erkennen und sie unter lauten Lachgeräuschen zu löschen.

Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automatisch gelöscht.

Was für ein Jammer!

Dies ist eine automatisch generierte E-Mail – bitte antworten Sie nicht an diese Mailadresse.

Der Absender ist gefälscht, und noch nicht einmal so gut, dass er irgendwie nach Finanzamt aussieht.

Mit freundlichen Grüßen
Ihr Finanzamt/Ihre Steuerverwaltung
http://elster.de

Da helfen dann auch die freundlichen Grüßchen nicht mehr.

HINWEIS: Sie erhalten diese E-Mail, weil Sie bei der Datenübermittlung z.B. Ihrer Steuererklaerung die Mailbenachrichtigung
auf diese E-Mailadresse gewünscht haben.
Bei Steuerbescheiden ist allein die Papierausfertigung rechtlich relevant.

Hinweis: Sie erhalten diese Spam ohne Grund.

¹Ein tolles Dokument übrigens mal wieder. Es wurde in einer Minute mit einmal Zwischenspeichern fertiggestellt und enthält 44 Seiten mit 38918 Wörtern. Oder anders gesagt: Neues Dokument. Mit Strg-V den Scheininhalt rein. Speichern, damit diese schwere Mühe nicht vergebens war. Makro-Editor aufrufen. Mit Strg-V den Schadcode rein. Speichern und rausspammen.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.