Kriminelle versenden gefälschte ELSTER-Mails mit dem Ziel, an Zugangsdaten und persönliche Informationen zu gelangen. Die neue Phishing-Welle nutzt täuschend echte Nachrichten und künstliche Intelligenz, warnen Verbraucherschützer.
Steuerbescheid erwartet, Phishing-Mail bekommen: Kriminelle missbrauchen derzeit das ELSTER-Steuerportal für eine gezielte Betrugsmasche. Die Verbraucherzentrale warnt aktuell vor einer neuen Welle gefälschter E-Mails, die täuschend echt aussehen – und Nutzer auf gefälschte Internetseiten locken. Wer dort seine Zugangsdaten eingibt oder persönliche Informationen preisgibt, spielt den Tätern direkt in die Hände.
ELSTER-Phishing-Mail 2026: So sehen die gefälschten Nachrichten aus
Optisch orientieren sich die derzeit kursierenden Nachrichten stark an echten Mitteilungen des Steuerportals. Besonders häufig tauchen dabei Betreffzeilen wie "Ihr elektronischer Steuerbescheid für 2026 ist abrufbar" oder "Ihre Steuererstattung 2026 steht zur Auszahlung bereit" auf. Im Text wird dann behauptet, im persönlichen "Mein-ELSTER-Postfach" liege ein neuer Steuerbescheid oder eine Auszahlung warte auf den Empfänger. Damit soll der Eindruck entstehen, dass lediglich ein Klick erforderlich sei, um wichtige Steuerunterlagen einzusehen. Ein eindeutiges Warnzeichen steckt bei diesen Mails bereits im Betreff: Steuerbescheide oder Erstattungen für 2026 kann es noch gar nicht geben. Der ein oder andere wird seine Steuererklärung für 2025 noch nicht mal eingereicht haben, die Ende Juli fällig ist.
Auffällig ist außerdem, dass viele dieser Phishing-Mails fast identisch aufgebaut sind. Nach einer meist unpersönlichen Anrede wie "Sehr geehrte/r Steuerzahler/in" folgt der Hinweis auf einen angeblich bereitstehenden Steuerbescheid oder eine Steuererstattung. Teilweise wird sogar ein konkreter Erstattungsbetrag genannt, der in zahlreichen Mails identisch ist. Anschließend werden die Empfänger aufgefordert, den beigefügten Link anzuklicken, um die Unterlagen abzurufen oder die Auszahlung zu bestätigen. Die verlinkte Internetseite ähnelt häufig dem offiziellen ELSTER-Portal und übernimmt Farben, Logos oder Gestaltungselemente. Ziel ist es, Vertrauen zu schaffen und Nutzer zur Eingabe persönlicher Zugangsdaten zu bewegen: Wer dort seinen ELSTER-Benutzernamen, das Passwort oder weitere Sicherheitsmerkmale eingibt, übermittelt diese direkt an die Täter.
Im Rahmen ihres Phishing-Radars weist die Verbraucherzentrale darauf hin, dass vor allem eine unseriöse Absenderadresse, eine unpersönliche Anrede, die Aussicht auf eine Steuererstattung und die Aufforderung zum Anklicken eines Links deutliche Warnzeichen sind. Verdächtige Nachrichten sollten daher besonders sorgfältig geprüft werden. Selbst wenn die Mail auf den ersten Blick professionell gestaltet ist, können kleine Abweichungen bei der E-Mail-Adresse oder der Internetadresse der verlinkten Seite auf eine Fälschung hindeuten. Das echte "Mein-ELSTER" informiert zwar über neue Nachrichten im Postfach, fordert Nutzer jedoch nicht dazu auf, ihre Zugangsdaten über einen Link in einer E-Mail einzugeben. Wer einen Steuerbescheid abrufen möchte, sollte das Portal ausschließlich über die selbst eingegebene Internetadresse oder einen bereits gespeicherten Favoriten öffnen und dort prüfen, ob tatsächlich eine neue Mitteilung vorliegt.
Typische Erkennungsmerkmale: Woran man gefälschte ELSTER-Mails erkennt
Kriminelle setzen gezielt auf Situationen, in denen viele Menschen ohnehin auf Post vom Finanzamt warten. Dadurch wirken Hinweise auf einen Steuerbescheid oder eine Steuererstattung besonders glaubwürdig. Dennoch gibt es typische Merkmale, an denen sich die derzeit kursierende ELSTER-Phishing-Mail erkennen lässt:
- Unpersönliche Anrede wie "Sehr geehrte/r Steuerzahler/in" statt des eigenen Namens
- Versprechen einer Steuererstattung oder Ankündigung eines abrufbaren Steuerbescheids
- Künstlicher Zeitdruck: Behauptung, Unterlagen seien nur kurze Zeit abrufbar oder eine Auszahlung verfalle
- Aufforderung, einen Link anzuklicken, um Zugangsdaten einzugeben oder eine Auszahlung zu bestätigen
- Verdächtige Absenderadresse: kleine Abweichungen von offiziellen Domains wie @elster.de
- Gefälschte Verlinkung: Die Zieladresse weicht von der offiziellen ELSTER-Seite ab – erkennbar an zusätzlichen Buchstaben, ungewöhnlichen Domain-Endungen oder scheinbar offiziellen Adressen mit kleinen Unterschieden
Ein besonders häufiges Mittel der Täter ist der künstliche Zeitdruck. Die Empfänger sollen möglichst sofort handeln, bevor sie die Nachricht genauer prüfen. Solche Fristen sollen dazu führen, dass Betroffene aus Sorge oder Neugier vorschnell reagieren – eine Methode, die Betrüger nicht nur bei ELSTER, sondern regelmäßig auch bei Banken, Krankenkassen oder Zahlungsdiensten einsetzen. Auf Smartphones ist die vollständige Zieladresse hinter einem Link häufig nicht sofort sichtbar. Deshalb empfiehlt es sich grundsätzlich, keine Links aus unerwarteten E-Mails zu öffnen, sondern bekannte Internetseiten immer selbst aufzurufen.