Rückerstattung und abgelaufene ID: Doppelte Phishing-Welle im Namen von FinanzOnline
Eine aktuell massenhaft versendete E-Mail im Namen von FinanzOnline verspricht eine üppige Mehrwertsteuerrückerstattung. Knapp 300 Euro warten angeblich. Tatsächlich haben es die Kriminellen auf Zugangsdaten zum Online-Banking und das Geld ihrer Opfer abgesehen. Daneben kursieren vermehrt die klassischen Fake-SMS, die vor einem Ablauf des FinanzOnline-Zugangs warnen.
Das Finanzministerium zählt ohne Zweifel zu jenen Institutionen, die am häufigsten als Deckmantel für Betrugsversuche herhalten müssen. Der Klassiker: „Ihr FinanzOnline-Zugang läuft ab!“ Aktuell macht eine andere, vermeintlich vom BMF stammende Aussendung die Runde. Konkret geht es um eine Mehrwertsteuerrückerstattung. Daran ist natürlich nichts wahr. Wir sehen uns den Phishing-Versuch etwas näher an.
Mehrwertsteuer zurück? So funktioniert das FinanzOnline-Phishing
Die Mechanismen hinter der Betrugsmasche sind weder neu noch sonderlich ausgeklügelt. Der Ablauf sieht folgendermaßen aus:
-
Kriminelle versenden massenhaft E-Mail-Nachrichten im Namen des Finanzministeriums bzw. von FinanzOnline.
-
In den Nachrichten wird behauptet, die Empfänger:innen hätten Anspruch auf eine Rückerstattung der Mehrwertsteuer in Höhe von 286,93 €.
-
Um eine Auszahlung durchzuführen, müsse man lediglich seine „Bankverbindung über das offizielle Kundenportal […] verifizieren.“
-
Ein Klick auf den in der Nachricht integrierten Link führt auf ein gefälschtes FinanzOnline-Portal. Dort folgt die Auswahl der Hausbank.
-
Eine Login-Seite für das Onlinebanking der jeweiligen Bank öffnet sich. Eine Anmeldung dort übermittelt sensible Login-Daten an die Kriminellen. Die haben ab diesem Moment Zugriff auf das Konto ihres Opfers
Sehr geehrter Kunde,
aut unseren Verwaltungsunterlagen haben Sie Anspruch auf eine Mehrwertsteuerrückerstattung in Höhe von 286,93 €
Um die Auszahlung sicher durchführen zu können, ersuchen wir Sie, Ihre Bankverbindung über das offizielle Kundenportal zu verifizieren.
Diese Verifizierung ist erforderlich, damit die Rückerstattung erfolgen kann.
Bitte führen Sie die Verifizierung innerhalb von 72 Stunden nach Erhalt dieser Nachricht durch.[Zum offiziellen Portal]
Sollte die Verifizierung Ihrer Bankdaten nicht innerhalb der angegebenen Frist erfolgen, kann die Auszahlung verzögert oder vorübergehend ausgesetzt werden.
Bitte prüfen und verifizieren Sie alle angeforderten Angaben sorgfältig, damit die Rückerstattung korrekt und ohne weitere Verzögerung bearbeitet werden kann.
Wenn Sie diese Nachricht unerwartet erhalten haben oder Zweifel bestehen, kontaktieren Sie bitten den offiziellen Support über die Kontaktangaben auf der Website.
Daten und Geld weg! Neben Anmeldeinformationen für das Onlinebanking erhalten die Betrüger:innen auch noch Geld. Wer nämlich die vermeintliche Rückerstattung bestätigt, bekommt die 286,93 € nicht gutgeschrieben, sondern überweist sie direkt an die Kriminellen.
Dort warten angebliche Verifizierungsmöglichkeiten für zahlreiche Banken.
FinanzOnline-Phishing: Daran erkennen Sie den Betrug
Beim MwSt-Rückerstattungsbetrug im Namen von FinanzOnline haben wir es mit einer klassischen Phishing-Nachricht zu tun. Entsprechend sind die Anzeichen relativ klar zu sehen – wenn man weiß, worauf man achten sollte.
-
Absender: Als Absendernamen haben die Kriminellen zwar „FinanzOnline“ gewählt – ein Blick auf die tatsächliche Adresse entlarvt den Schwindel aber rasch. Im aktuellen Fall lautet die konkrete Adresse „[email protected]“.
-
Zeitlicher Druck: Phishing-Nachrichten sollen ihre Empfänger:innen immer unter Druck setzen. Zum Beispiel durch eine Strafandrohung, falls man einer Aufforderung nicht nachkommt. Im konkreten Fall wird mit zeitlichem Druck gearbeitet. „Bitte führen Sie die Verifizierung innerhalb von 72 Stunden nach Erhalt dieser Nachricht durch."
-
Unpersönlich: Nachrichten von staatlichen Stellen sind immer direkt an die Empfängerin oder den Empfänger adressiert. Ein unpersönliches „Sehr geehrter Kunde“ wird in offiziellen Schreiben hingegen nicht verwendet.
-
Link: Sobald eine E-Mail-Nachricht einen Link enthält, auf den zur Durchführung einer Überweisung, einer Verifizierung etc. geklickt werden soll, ist von einem Betrugsversuch auszugehen. Regierungsinstitutionen versenden niemals Links, sondern weisen die Empfänger:innen an, sich direkt auf dem Portal einzuloggen – ohne Link!
-
Adresse: Die Adresse der Website zur Bankenauswahl hat nichts mit staatlichen Stellen zu tun. Sie erinnert nur entfernt an offizielle Domains. Im aktuellen Fall lautet sie finanz0line.x24hr.com - zum Beispiel kommt statt dem Buchstaben “O” die Ziffer “0” zum Einsatz.
Rückerstattung überhaupt möglich? Die Rückerstattung der Umsatzsteuer (= Mehrwertsteuer) existiert in Österreich tatsächlich. Allerdings nicht so, wie es die Fake-Mails vorgaukeln. Auf der offiziellen Website des Finanzministeriums heißt es dazu: „Reisende mit Nicht-EU-Wohnsitz können für Waren, die sie in Österreich gekauft haben, die Umsatzsteuer vom verkaufenden Unternehmen rückvergütet bekommen.“ Eine Rückerstattung für österreichische Staatsbürger:innen ist also gar nicht möglich.
Der Phishing-Klassiker: Zugang zu FinanzOnline läuft angeblich ab
Von einer „Welle“ zu sprechen, ist im konkreten Fall nicht ganz richtig. Die Fake-SMS-Nachrichten im Namen von FinanzOnline werden nämlich das ganze Jahr über versendet. Aktuell ist allerdings eine deutliche Häufung der Meldungen zu beobachten. Die Masche kurz erklärt:
-
Betrüger:innen versenden ziellos SMS-Nachrichten mit dem immer gleichen Inhalt. Aktuelles Beispiel: (BMF) Ihre FinanzOnline-ID läuft am 4.11.2025 ab. Ohne Verlängerung kann Ihre Steuererklärung nicht erfolgen: flnanzonline-bmfgv(.)com.
-
Ein Klick auf den Link führt auf eine gefälschte Login-Seite für FinanzOnline.
-
Wer die dort geforderten (Kontakt)Daten übermittelt, erhält kurz darauf einen Anruf von einem vermeintlichen Service-Mitarbeiter, der sein Gegenüber zur Installation einer Fernzugriffs-Software drängt.
-
Dadurch erhalten die Kriminellen vollen Zugriff auf das Gerät ihres Opfers.
Woran erkennt man die Fake-SMS? Öffentliche Stellen versenden niemals SMS-Nachrichten oder E-Mails mit integriertem Link. Die Aufforderung lautet stets, sich direkt auf der jeweiligen Plattform einzuloggen. Der integrierte Link hat nichts mit offiziellen Webseiten zu tun und wirkt nur auf den ersten Blick seriös - im aktuellen Fall wird im Wort „finanz“ statt dem Buchstaben „i“ der Buchstaben „l“ verwendet. Phishing-Versuche arbeiten außerdem immer mit einem engen Zeitfenster, um Druck aufzubauen und Stress auszulösen.
In die Phishing-Falle getappt? Das können Sie tun!
Wer lediglich auf den Link der E-Mail oder der SMS geklickt, aber keinerlei Daten übermittelt bzw. sich nirgends eingeloggt hat, muss sich keine Sorgen machen. Wer den Kriminellen allerdings vollständig auf den Leim gegangen ist, sollte so rasch wie möglich handeln!
-
Kontaktieren Sie umgehend Ihre Bank und schildern Sie die Situation! Die Berater:innen wissen, was zu tun ist und ob das Konto eventuell gesperrt werden muss.
-
Ändern Sie die Zugangsdaten für Ihr Onlinebanking!
-
Behalten Sie Ihr Konto in den nächsten Wochen besonders gut im Auge und achten Sie auf ungewöhnliche Bewegungen!
-
Erstatten Sie Anzeige bei der Polizei!
-
Bleiben Sie wachsam! Die Kriminellen werden sehr wahrscheinlich versuchen, Sie mit einer anderen Masche zu kontaktieren.
-
Wer die Software für Fernzugriff installiert hat, sollte sofort einen umfassenden Virenscan durchführen! Noch sicherer ist es, das Gerät zur Kontrolle in ein Fachgeschäft zu bringen.
Unterstützt von:
