Seit Anfang Juni 2025 ist eine betrügerische E-Mail im Umlauf, die vorgibt, von der Steuerplattform ELSTER oder sogar der „Deutschen Regierung“ zu stammen. Die Nachricht fordert Empfänger dazu auf, ein Formular über einen Link auszufüllen – angeblich, um eine Steuererstattung zu ermöglichen. Doch Vorsicht: Es handelt sich dabei um einen raffinierten Phishing-Versuch.
Der Inhalt der betrügerischen E-Mail
Die Nachricht ist teils in einem holprigen Deutsch verfasst und wirkt schon auf den ersten Blick nicht unbedingt seriös. Hier ein Auszug aus dem Inhalt und nachfolgend ein Screenshot (Abb. 1) der Phishing-Mail:
„Bitte füllen Sie das Dokument über den untenstehenden Link aus und senden Sie es uns so bald wie möglich zu. Dies ist eine offizielle E-Mail der Deutsche Regierung […] Diese Nachricht wurde von der ELSTER gesendet und enthält äußerst vertrauliche Informationen.“
Neben inhaltlichen Schwächen wie „der Deutsche Regierung“ oder „von der ELSTER“ (Abb. 1, Punkt 8 u. 10) fällt vor allem eines auf: Es wird auf einen externen Link verwiesen – ein obligatorisches, übliches Mittel zum Datenklau (Phishing) durch Betrüger.
Warum diese E-Mail gefährlich ist
Diese E-Mail ist kein offizieller Kontakt der Steuerbehörden. Sie enthält keine digitalen Signaturen, keine DKIM-Prüfung, und die technologische Herkunft der Mail widerspricht der vorgetäuschten Absenderidentität.
Technische Analyse des E-Mail-Headers
Wer sich mit E-Mail-Headern beschäftigt, kann den Betrug schnell erkennen. Hier die wichtigsten Auffälligkeiten:
1. Absenderadresse & Return Path
Von: ELSTER | Online-Finanzamt <d-it8lbHa@mokra.cz>
Return-Path: <xyz@hp.com>
- Keine ELSTER-Domain (
@elster.de) – stattdessen eine tschechische Adresse (siehe Abb. 1, Punkt 1). - Rücksendeadresse gibt sich als
@hp.comaus. HP (Hewlett-Packard) ist einer der größten US-amerikanischen PC- und Druckerhersteller – völlig abwegig und unpassend zur Steuerverwaltung.
2. Versandserver
Received: from smtp.numericable.fr ([81.65.92.122]) ...
- Die IP-Adresse gehört zum französischen Kabelnetzbetreiber, Internet- und Telekommunikationsanbieter (SFR/Numericable) – nicht zu ELSTER oder einer deutschen Behörde.
- Der Server könnte möglicherweise kompromittiert sein.
3. Empfänger
To: undisclosed-recipients:;
- Diese Technik wird häufig bei Massenmails / Spam verwendet. Der eigentliche Empfänger ist verborgen – typisches Verhalten bei Phishing-Kampagnen.
3. Keine Authentifizierung
Authentication-Results: dkim=none
- Weder DKIM noch SPF oder DMARC – moderne E-Mails offizieller Absender sind immer digital signiert, um Fälschungen zu verhindern.
- Seriöse Absender (z. B. ELSTER, HP) verwenden immer SPF/DKIM/DMARC.
4. Fake-Angaben zur Herkunft
X-Originating-Host: ...@mail13.luxushotel-xy.de
Message-ID: ...@smtp-out-central.vodafone.de
- Diese Header sollen Seriosität vortäuschen, stimmen aber weder mit dem tatsächlichen Absender noch mit ELSTER überein.
Gesamtbewertung dieser Phishing-Mail
Die E-Mail weist mehrere gravierende Auffälligkeiten auf die darauf hinweisen, dass es sich bei dieser Mail um eine Phishing-Mail handelt:
| Merkmal | Bewertung |
|---|---|
| Absender/Return-Path unstimmig | Spoofing-Verdacht |
| Betreff köderhaft/formatiert | Phishing-Anzeichen |
| DKIM fehlt | Kein Vertrauensbeweis |
| Mail-Routing aus Frankreich | Nicht ELSTER-typisch |
| Massenversand / undisclosed | Spam |
| Dubiose Absenderdomain (.cz) | Kein Bezug zu ELSTER |
Eine spam- oder phishingtypische unpersönliche Anrede, hier: „Sehr geehrter Kunde, …“ (Abb. 1, Punkt 5), ist in einer Mail bzw. Nachricht von ELSTER nicht unüblich oder ungewöhlich. Wenn du eine echte ELSTER-Benachrichtigung erhältst, lautet die Anrede in der Regel: „Sehr geehrte/r Mein ELSTER-Nutzer/in, …“.
So erkennst du echte ELSTER-Mails
| Merkmal | Echte ELSTER-Mail | Phishing-Mail |
|---|---|---|
| Absenderadresse | @elster.de | @abwegige-domain.com |
| Betreff | Mein ELSTER: Benachrichtigung über neue Bescheiddaten | Einkommensteuerrückerstattung |
| Domain-Link | https://www.elster.de | Fremde, abwegige, oft verkürzte URLs, hier: https://email.notify.thinkific.com… |
| Digitale Signatur | vorhanden (DKIM, SPF) | fehlt meist, muss aber nicht |
| Sprache & Rechtschreibung | Korrekt & professionell | fehlerbehaftet oder unlogisch |
Was tun, wenn du so eine E-Mail erhältst?
- Nicht klicken. Öffne keine Links und lade keine Anhänge herunter.
- Markiere die Nachricht als Spam/Junk in deinem E-Mail-Client.
- Verschiebe die Nachricht in den Spam-Ordner in deinem E-Mail-Client.
- Lösche die E-Mail.
- Wenn es wirklich um Steuererstattungen geht: Nur über das offizielle ELSTER-Portal einloggen: https://www.elster.de
- Wenn du Zweifel hast, melde die Nachricht, entweder über die integrierte Funktion deines E-Mail-Clients oder indem du sie z. B. an: phishing@verbraucherzentrale.de schickst.
Fazit: Diese E-Mail ist ein klarer Phishing-Versuch
Phishing-Mails zielen darauf ab, dass Nutzer persönliche Daten preisgeben – oft auf einer nachgebauten Website, die dem ELSTER-Portal ähnelt. Wer dort seine Steuer-ID, Login-Daten oder gar Bankverbindung angibt, läuft Gefahr, Opfer von Identitätsdiebstahl oder Betrug zu werden. Diese E-Mail ist ein klarer Phishing-Versuch, der auf die Steuerrückerstattungsfreude setzt.
Sei wachsam, prüfe die E-Mail-Header und den Inhalt der Nachricht sowie enthaltene Links aufmerksam. Verlasse dich nur auf offizielle Webseiten der Steuerbehörden, in diesem Fall: elster.de.
Cyber-News
Abonniere jetzt unsere Cyber-News! Erhalte wertvolle Informationen, Tipps und Ratschläge zur Cybersicherheit, Cyberbedrohungen, den neuesten Betrugsmaschen, Phishing-Methoden und Social-Engineering. Ganz gleich ob du Anfänger oder Fortgeschrittener bist, werde Teil unserer Community und erhalte alle 4 Wochen wertvolle Insights, um deine IT-Sicherheit zu verbessern!
Teile diesen Blog-Beitrag und empfehle ihn weiter:
Hat dir dieser Beitrag gefallen?
Ähnliche Beiträge
