Kaspersky berichtet, dass die Steuersaison die Zahl der Krypto-Wallet-Betrügereien anheizt

Cyberkriminelle nutzen die Steuersaison aus, um Menschen, die Kryptowährungen besitzen, dazu zu verleiten, ihnen ihre Wallet-Startphrasen zu geben, indem sie gefälschte Regierungswebsites erstellen.

In vielen Ländern gibt es Phishing-Kampagnen. Kaspersky-Forscher fanden gefälschte Websites, die Finanzämter in Deutschland, Frankreich, Österreich, der Schweiz, Brasilien, Chile und Kolumbien kopierten.

Die deutschen und französischen Pläne sind aggressiv. Hacker teilen Krypto-Inhabern mit, dass sie nach den EU-Vorschriften ihre Bestände „verifizieren“ müssen, andernfalls riskieren sie Geldstrafen von bis zu 1 Million Euro.

Gefälschte Steuerportale fordern Krypto-Wallet-Seed-Phrasen

Es gibt ein einheitliches Muster bei den Angriffen, die auf Kryptowährungen abzielen. Opfer landen auf Websites, die wie echte Steuerseiten aussehen, wie das deutsche ELSTER-Portal oder ein gefälschtes „Crypto Tax Compliance Portal“, das wie das französische Ministerium für Wirtschaft und Finanzen aussieht.

Die Websites teilen den Benutzern mit, dass ihre Krypto-Einnahmen steuerfrei sind, allerdings erst, nachdem sie einen „Verifizierungsprozess“ durchlaufen haben.

Am Ende dieses Prozesses wird das Opfer nach seiner Seed-Phrase gefragt, dem Wiederherstellungsschlüssel, der ihm die volle Kontrolle über ein Kryptowährungs-Wallet gibt.

Laut Kaspersky richtet sich die gefälschte deutsche Website an Benutzer von Ledger, Trezor, Trust Wallet, MetaMask, Phantom, Coinbase und anderen bekannten Wallet-Diensten.

Die französische Version versucht auch, Konten auf MetaMask, Binance, Coinbase, Trust Wallet und WalletConnect zu leeren.

Die Websites drohen mit rechtlichen Schritten, wenn Personen der Aufforderung nicht nachkommen. Dies ist eine Möglichkeit, den grundlegenden Sicherheitsinstinkt zu umgehen, der den Leuten sagt, dass sie niemals eine Startphrase weitergeben sollen.

Gefälschte französische Steuerwebsite. Quelle: Kaspersky.

Krypto-Inhaber sind nicht die einzigen Ziele.

Kaspersky entdeckte eine größere Anzahl von Phishing-Sites in denselben Ländern, die persönliche Daten von normalen Steuerzahlern stahlen. Eine gefälschte Website in Chile versprach eine Steuerrückerstattung von etwa 375 US-Dollar, buchte dann aber das Geld direkt von der Kreditkarte des Opfers ab.

In Kolumbien haben gefälschte Regierungswebsites Menschen dazu verleitet, passwortgeschützte ZIP-Dateien herunterzuladen und Malware auf ihren Geräten zu installieren.

Eine französische Kampagne gab sich als Steuerprüfer aus und verschickte anstelle eines offiziellen Dokuments ein PDF mit Schadsoftware, um Menschen vor unvollständigen Einkommenserklärungen zu warnen.

In Brasilien richten Betrüger Websites ein, die angeblich Menschen gegen eine Gebühr dabei helfen, ihre Steuern einzureichen. Anschließend erfassen sie Namen, Telefonnummern, Adressen, Geburtsdaten, E-Mail-Adressen und Steueridentifikationsnummern (TINs).

Kaspersky sagte, dass die Ausgabe einer TIN die Opfer anfällig für gefälschte Kreditanträge, gehackte Regierungskonten und weitere Social-Engineering-Angriffe mache.

Ein wachsendes Bedrohungsumfeld für Krypto-Inhaber

Steuer-Phishing-Maßnahmen setzen Krypto-Inhaber einer Gefahr von mehreren Seiten aus.

Im Januar 2026 gab die französische Krypto-Steueranwendung Waltio bekannt, dass Hacker der Gruppe „Shiny Hunters“ behaupteten, persönliche Daten von etwa 50.000 Benutzern gestohlen zu haben, so die damalige Berichterstattung von Cryptopolitan.

Waltio, das Benutzern bei der Berechnung von Kapitalgewinnen für Steuererklärungen hilft, sagte, dass zu den gestohlenen Informationen E-Mail-Adressen und Daten über Krypto-Guthaben gehörten. In Frankreich kam es in den letzten Monaten zu einer Reihe von Entführungen und Hauseinbrüchen im Zusammenhang mit Kryptowährungen, die teilweise auf durchgesickerte Informationen über Inhaber zurückzuführen waren.

Im April 2026 gab das Global Research and Analysis Team (GReAT) von Kaspersky bekannt, dass ein neuer Fernzugriffstrojaner namens CrystalX, der als Abonnementdienst auf Telegram verkauft wird, über Funktionen zur Überwachung der Zwischenablage verfügt. Hacker nutzen solche Funktionen, um kopierte Wallet-Adressen abzufangen und sie durch vom Angreifer kontrollierte Adressen zu ersetzen.

Die Malware übernimmt außerdem Passwörter von Browsern, Steam, Discord und Telegram und ermöglicht es Hackern, infizierte Geräte von überall aus zu kontrollieren.

Eine echte Steuerbehörde wird niemals nach einer Kryptowährungs-Seed-Phrase fragen. Es gibt keine „Wallet-Verifizierung“-Portale für Regierungsbehörden und die EU-Vorschriften verlangen aus keinem Grund Krypto-Seed-Phrasen.

Man sollte keine Dateien aus E-Mails herunterladen, die angeblich von Steuerbeamten stammen. Sie sollten außerdem grundsätzlich jede Website, die steuerfreie Krypto-Einnahmen verspricht, als Betrug betrachten.