Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Steuerrückzahlung“

Einkommensteuer-Rückzahlung: Bitte verifizieren Sie Ihr Konto

Donnerstag, 12. Juni 2025

⚠️ Diese Mail kommt nicht von Elster und nicht von einem Finanzamt der Bundesrepublik Deutschland. Es ist eine Spam. Nicht darauf reinfallen! ⚠️

Von: noreply@elster.de
An: gammelfleisch@tamagothi.de

Die Absenderadresse ist gefälscht. Die E-Mail wurde in Wirklichkeit über die IP-Adresse eines Hosting-Dienstleisters aus den USA versendet, der hoffentlich Vorkasse genommen hat, denn sonst wird er von diesen Betrügern kein Geld mehr sehen.

Natürlich wurde diese Mail allein wegen gescheiterter SPF-Überprüfung in den Müll sortiert, und das sollte auch überall so laufen. Klar, DKIM scheitert auch. Wenn ich nicht so neugierig wäre, was sich im Spamfilter verfängt, hätte ich diesen Phishingversuch gar nicht erst gesehen. 😉️

ELSTER

Eine Mitteilung der Bundesbehörde.

Oh, eine Bundesbehörde, die eine Elster ist? 🤭️

Sehr geehrter Kunde,

Und dann kennt die nicht einmal meinen Namen oder gar meine Steuernummer? Stattdessen spricht sie mich als „Kunden“ an? Na, ist hier schon einmal jemand von seinem Finanzamt als „Kunde“ angesprochen worden?

Um die Rückzahlung Der [sic!] Einkommensteuer zu erhalten, müssen Sie Ihr Konto verifizieren, damit wir den vollen Betrag auf das richtige Konto überweisen können.

Zum Dokument

Natürlich führt der Link weder zu einer Elster noch zu einem Finanzamt, es ist ja eine Spam – und wer darauf geklickt, hat den Spammern zudem noch mitgeteilt, dass die Spam angekommen ist, gelesen wurde und sogar beklickt wurde. Ich kann das hier nur so freizügig untersuchen, weil es eine eh schon spamverseuchte Mailadresse betrifft:

$ mime-header "https://t.dripemail2.com/c/eyJhY2NvdW50X2lkIjoiMzY2MzI3NCIsImRlbGl2ZXJ5X2lkIjoiMGhqd240cWJpeW5xa3pkMXB1dW8iLCJ1cmwiOiJodHRwczovL3d3dy1lbHN0ZXIuYXV0aC1udmlkZW50aWZpYW50LmNvbS8ifQ"
HTTP/1.1 307 Temporary Redirect
Date: Thu, 12 Jun 2025 10:20:33 GMT
Content-Length: 0
Connection: close
Location: https://www-elster.auth-nvidentifiant.com/
$ surbl www-elster.auth-nvidentifiant.com
www-elster.auth-nvidentifiant.com	okay
$ dig auth-nvidentifiant.com | grep -v "^;" | grep IN
auth-nvidentifiant.com.	521	IN	SOA	clayton.ns.cloudflare.com. dns.cloudflare.com. 2375034244 10000 2400 604800 1800
$ _

Alle Daten, die man auf der verlinkten Website angibt, gehen direkt an Trickbetrüger. Die lustige Domain der Phisher steht leider noch nicht auf allen einschlägigen Blacklists, so dass man von Sicherheitsschlangenöl im Webbrowser nicht gewarnt wird. Die Verbrecher sind eben immer ein bisschen voraus, man kann sich auf so einen Schutz nicht verlassen. Allerdings haben die Betrüger ihr DNS über Cloudflare gemacht, und ich weiß aus Erfahrung, dass Cloudflare recht schnell tätig wird, wenn man ihnen eine Abuse-Meldung wegen Phishing oder Vorschussbetrug, den beiden häufigsten Trickbetrugsformen im gegenwärtigen Internet, schickt. Schon jetzt wird wohl jeder eine Warnung sehen, dass die Seite wegen Phishingverdachts gemeldet wurde, wenn er auf den Link aus dieser Spam klickt – und müsste sich explizit weiterklicken, um zur betrügerischen Website zu kommen. Nicht vollkommen, aber besser als nichts. Es kann aber auch nicht jede Klitsche so gleichgültig wie Google sein…

(Nein, ich mag Cloudflare nicht wirklich. Verstehe bitte niemand ein kleines Lob von mir als eine Reklame! Ja, die Konfigdateien für BIND 9 sind ein Krampf im Arsch, und die Syntax hat sich mutmaßlich jemand ausgedacht, der nach zwanzig Jahren als Folterknecht auch mal etwas wirklich Böses tun wollte, so dass man wirklich leicht und erstmal unbemerkt einen Fuckup allererster Güteklasse baut, was ich auch schon selbst geschafft habe, aber so schwierig ist es am Ende auch wieder nicht. Wenn gefühlt zwei Drittel der Namensauflösung im Internet über einen einzigen Anbieter laufen, ist das durchaus ein Problem.)

Aber eigentlich sollte niemand diese Spam in seinem normalen Posteingang sehen. Sie wird schon von banal konfigurierten Spamfiltern aussortiert, weil die gefälschte Mailadresse in der Domain elster (punkt) de am SPF scheitert.

ELSTER ®

Zahlungsreferenz: monisnap

So so, monisnap. Da ahnt man ja schon, dass da wohl auch ein Vorschussbetrug der Marke „Senden sie uns die Bearbeitungsgebühr über einen anonymen Dienstleister irgendwo in die weite Welt“ inszeniert werden soll. Das Problem scheint bei Moni nicht wirklich unbekannt zu sein. 😅️

Wenn man gar nicht erst in eine Mail klickt, kann einem niemand so leicht einen vergifteten Link unterschieben. Das Finanzamt kommuniziert nicht per E-Mail, es kennt die Namen der Leute, die es anschreibt und es würde eine Steuernummer nennen. Wenn man sich trotz so starker Anzeichen für einen Trickbetrug unsicher ist und nicht gleich für eine Nachfrage beim Finanzamt anrufen möchte, liefert auch eine Websuche schnell klare Warnzeichen, zum Beispiel diesen Hinweis der „Cybersicherheitsagentur“ Baden-Württemberg. Wer davon nicht genug gewarnt wird, wird vermutlich auch nicht von mir erreicht. Entschuldigt bitte meine Anführungszeichen um diese Behördenbezeichnung, aber jedes derartige Wort mit „Cyber“ finde ich dermaßen dumm, dass ich schon lange nicht mehr darüber lachen kann. Die Verbrechensformen, die man damit bezeichnet, um den verbreiteten digitalen Analphabetismus von Politik, Verwaltung und Polizeien in der Bundesrepublik Deutschland zu dokumentieren, haben nicht einmal in einem skurillen Sinn etwas mit Kybernetik zu tun. Tatsächlich ist es eine relativ neue und politikgeborene Wortschöpfung, um sprachlich die politisch erwünschte und zunehmend erzwungene Internetnutzung – diese heißt dann „digital“, „Digitalisierung“, „elektronisch“, etc. – von jenen kriminellen Nutzungsformen zu unterscheiden, denen man damit die Türen öffnet. Weil die Leute, die so reden, nicht einmal den Unterschied zwischen digitaler und analoger Technik erklären können. (Vorsicht, dieser Link zur einem unbeholfenen Sprechakt der hessischen Digitalministerin macht großes Aua im Kopf!) Und alle plappern es nach. Es ist zum Fremdschamsterben dumm.

Aber es gibt auch Lichtblicke. Das Landeskriminalamt Niedersachsen spricht stattdessen in der öffentlichen Kommunikation von Internetkriminalität, was ein viel besseres Wort ist. Die haben wohl auch schon eine ähnliche Spam gehabt, und ich zitiere hier mal aus dem den völlig vernünftigen und gut formulierten Hinweis:

Generelle Hinweise:

Sollten Sie eine Mail im Aussehen von ELSTER bekommen haben, dann haben Sie diezbezüglich zuvor auch etwas selbst initiiert (z.B. gerade Elster genutzt und Ihre Steuererklärung abgeschickt). Sollten Sie unsicher sein, so klicken Sie niemals auf einen Link einer solchen Mail. Nutzen Sie die Ihnen bekannte und echte Adresse www.elster.de bzw. https://www.elster.de/eportal/start . Alternativ steht Ihnen auch die offizielle App MeinELSTER+ vom bayerischen Landesamt für Steuern zur Verfügung. Dort können Sie auch Ihren Posteingang prüfen.

In Formularen von Elster werden Sie nicht auf diese Weise (siehe oben) kontaktiert. Lesen Sie in Ruhe den gezeigten Absender. Ggf. können Sie dort bereits die Fälschung erkennen

Klickt nicht, niemals und unter keinen Umständen in E-Mail (außer, ihr kennt den Absender persönlich und die Mail ist digital signiert oder ihr habt über einen anderen Kanal rückgefragt), und schon gar nicht, wenn es um Geld geht! Wenn ihr es doch mal getan habt, und auf einmal einen Datenstriptease machen, euch anmelden oder euch registrieren sollt, gebt nichts ein und schließt den Browsertab! Bank- und Kreditkartendaten schon gar nicht! Lasst die Betrüger einfach verhungern!

Ihre Steuerrückzahlung (2013-2014-2015-2016-2017)

Dienstag, 7. August 2018

Was, in einer unverschlüsselten E-Mail?

Von: „Bundesministerium für Finanzen“ <no.reply72@bmf.gv.at>

Oh, aus der Bundesrepublik Österreich. Aber dort habe ich doch gar keine Steuern gezahlt.

Steuerverwaltung

Eine Angabe, fast so überzeugend wie ein Dienstsiegel!

Hiermit teilen wir Ihnen mit, dass bei unserem Versuch einer Rückzahlung auf das bei uns bekannte Konto von Ihnen fehlgeschlagen ist.

Schön, dass „ihr“ noch einmal betont, dass ihr mir mit einer Mitteilung etwas mitteilt. Wenn „ihr“ dann nur noch etwas mitteilen würdet! Was an eurem Versuch ist denn auf das Konto von mir fehlgeschlagen? Und welches Konto ist das überhaupt? Viele Menschen haben mehrere. Aber wenn ihr da eine IBAN reinschreibt, merkt ja jeder, dass die nicht stimmt.

Bitte melden Sie sich bei Ihrem Steuerrückzahlungsportal an, um die Rückzahlung manuell abzuwickeln. Während des Prozesses können Sie die von Ihnen hinterlegten Kontoinformationen aktualisieren.

Die sind aber modern geworden. Keine ELSTER mehr, die Geld klaut, sondern ein Steuerrückzahlungsportal. Und das ist auch noch ein Link auf Google! Das muss dieses Steuergeheimnis sein! :mrgreen:

Gut, dass die Zieladresse bei dieser Weiterleitungstechnik sozusagen im Klartext drinsteht, so dass ich sie mal ohne URI-Parameter aufrufen kann. Aber es scheint so, als handele es sich inzwischen nicht mehr um die „Finanzverwaltung“ oder als wolle die „Finanzverwaltung“ die Domain ihrer Website verkaufen:

OMaster.com -- Kann verfügbar sein -- Füllen Sie dieses Formular aus, um ein Preisangebot für OMaster.com zu erhalten: -- Wie lautet Ihr Name? -- Wie lautet ihre E-Mail-Adresse? -- Wie lautet ihre Mobiltelefonnummer? -- [ERHALTEN SIE EIN PREISANGEBOT]

Angesichts der Tatsache, dass ein Link in diese Domain mit einer Spam gekommen ist, dürfte die Domain übrigens ziemlich wertlos sein. Das heißt aber nicht, dass das erhältliche Preisangebot kein absurder Mondpreis wird.

Bei dieser Spam handelt es sich um die Zusendung eines Lesers. Wenn sie auf einer meiner „verbrannten“ Mailadressen angekommen wäre, hätte ich noch kurz getestet, ob ich mit den ganzen URI-Paramtern (die beim Klick an die Spammer zurückfunken, unter welchen Mailadressen die Spam ankommt und beklickt wird) eine andere Seite gesehen hätte. Ich bin mir da beinahe sicher. Domainhändler, die auf ihren nur mit Javascript funktionierenden Kaufmich-Seiten weder ein Impressum noch eine ohne Lockerung von Sicherheitseinstellungen lesbare Datenschutzerklärung angeben, wirken auf mich mehr als nur ein bisschen halbseiden.

Zahlungsdatum: 02.08 2018
Rechnungsnummer: BMF/84UAT1/AT1001
Betrag: €1,941.75 EUR

Man kann ja viele lustige Nummern bei Behörden bekommen, aber dass es beim Finanzamt eine Rechungsnummer für eine Steuerrückzahlung gäbe, ist mir neu. 😀

HINWEIS: Diese E-Mail gilt as offizieller Abrechnungsbeleg dieser Rückzahlung.

Hinweis: Dieses Blogposting gilt als offizieller Totenschein für einen Spammer, der keinerlei Hirnaktivität mehr zeigt.

Diese Spam ist ein Zustecksel meines Lesers liu-yan