Cyberkriminelle nutzen die Steuersaison aus, um Besitzer von Kryptowährungen durch gefälschte Regierungswebseiten zur Herausgabe ihrer Wallet-Seed-Phrasen zu verleiten.
In vielen Ländern laufen Phishing-Kampagnen. Kaspersky-Forscher entdeckten gefälschte Webseiten, die Finanzämter in Deutschland, Frankreich, Österreich, der Schweiz, Brasilien, Chile und Kolumbien imitierten.
Die deutschen und französischen Betrugsmaschen sind aggressiv. Hacker behaupten gegenüber Kryptowährungsbesitzern, dass EU-Vorschriften sie verpflichten, ihre Bestände zu „verifizieren“, andernfalls drohen ihnen Geldstrafen von bis zu einer Million Euro.
Gefälschte Steuerportale fordern Seed-Phrasen für Krypto-Wallets
Bei den Angriffen auf Kryptowährungen lässt sich ein einheitliches Muster erkennen. Die Opfer landen auf Webseiten, die echten Steuerseiten ähneln, wie beispielsweise dem deutschen ELSTER-Portal oder einem gefälschten „Portal zur Einhaltung der Kryptosteuerbestimmungen“, das dem französischen Wirtschafts- und Finanzministerium nachempfunden ist.
Die Webseiten versprechen den Nutzern Steuerfreiheit für ihre Krypto-Einnahmen, allerdings erst nach einem „Verifizierungsprozess“.
Am Ende dieses Prozesses wird das Opfer nach seiner Seed-Phrase gefragt. Dabei handelt es sich um den Wiederherstellungsschlüssel, der ihm die volle Kontrolle über eine Kryptowährungs-Wallet ermöglicht.
Kaspersky zufolge zielt die gefälschte deutsche Website auf Nutzer von Ledger, Trezor, Trust Wallet, MetaMask, Phantom, Coinbase und anderen bekannten Wallet-Diensten ab.
Die französische Version versucht außerdem, Konten bei MetaMask, Binance, Coinbase, Trust Wallet und WalletConnect zu leeren.
Die Webseiten drohen mit rechtlichen Schritten, falls die Nutzer der Aufforderung nicht nachkommen. Dadurch wird der grundlegende Sicherheitsinstinkt umgangen, der uns rät, niemals eine Seed-Phrase weiterzugeben.
Nicht nur Kryptowährungsbesitzer sind die Zielscheibe.
Kaspersky entdeckte eine größere Anzahl von Phishing-Websites in denselben Ländern, die persönliche Daten von Steuerzahlern stahlen. Eine gefälschte Website in Chile versprach eine Steuerrückerstattung von etwa 375 US-Dollar, buchte das Geld aber direkt von der Kreditkarte des Opfers ab.
In Kolumbien wurden Menschen durch gefälschte Regierungswebseiten dazu verleitet, passwortgeschützte ZIP-Dateien herunterzuladen, die Schadsoftware auf ihren Geräten installierten.
Eine französische Kampagne gab sich als Steuerprüfer aus und verschickte anstelle eines offiziellen Dokuments eine PDF-Datei mit Schadsoftware, um die Bevölkerung vor unvollständigen Einkommenserklärungen zu warnen.
In Brasilien betreiben Betrüger Webseiten, die gegen Gebühr Hilfe bei der Steuererklärung anbieten. Anschließend sammeln sie Namen, Telefonnummern, Adressen, Geburtsdaten, E-Mail-Adressen unddent(TINs).
Kaspersky erklärte, dass die Weitergabe einer Steueridentifikationsnummer (TIN) die Opfer anfällig für gefälschte Kreditanträge, gehackte Regierungskonten und weitere Social-Engineering-Angriffe mache.
Ein zunehmend bedrohliches Umfeld für Kryptowährungsinhaber
Steuerbetrugsmaschen setzen Kryptowährungsbesitzer Gefahren von mehreren Seiten aus.
Im Januar 2026 gab die französische Krypto-Steuer-App Waltio bekannt, dass Hacker der Gruppe „Shiny Hunters“ behaupteten, persönliche Daten von rund 50.000 Nutzern gestohlen zu haben, wie Cryptopolitan. Cryptopolitan berichtete
Waltio, ein Unternehmen, das Nutzern bei der Berechnung von Kapitalgewinnen für die Steuererklärung hilft, gab bekannt, dass die gestohlenen Informationen E-Mail-Adressen und Daten zu Krypto-Guthaben umfassten. In Frankreich kam es in den letzten Monaten vermehrt zu Entführungen und Wohnungseinbrüchen im Zusammenhang mit Kryptowährungen, die teilweise auf durchgesickerte Informationen von Krypto-Inhabern.
Im April 2026 gab , dass der neue Remote-Access-Trojaner CrystalX, der als Abonnementdienst über Telegram vertrieben wird, Funktionen zur Überwachung der Zwischenablage besitzt. Hacker nutzen diese Funktionen, um kopierte Wallet-Adressen abzufangen und durch von ihnen kontrollierte Adressen zu ersetzen.
Die Schadsoftware stiehlt außerdem Passwörter von Browsern, Steam, Discord und Telegram und ermöglicht es Hackern, infizierte Geräte von überall aus zu steuern.
Eine seriöse Steuerbehörde wird niemals nach der Seed-Phrase einer Kryptowährung fragen. Es gibt keine Portale zur „Wallet-Verifizierung“ für Regierungsbehörden, und die EU-Vorschriften schreiben aus keinem Grund Seed-Phrasen für Kryptowährungen vor.
Man sollte keine Dateien aus E-Mails herunterladen, die angeblich von Finanzbeamten stammen. Generell sollte man Webseiten, die steuerfreie Krypto-Einnahmen versprechen, als Betrug betrachten.
