GoldFactory: Cyber-Betrüger nutzen Steuerzeit für Millionenschäden

Eine hochgefährliche Phishing-Kampagne zielt mit gefälschten Steuer-Apps auf Android-Nutzer ab und hat allein in Indonesien bereits Schäden von bis zu zwei Millionen Euro verursacht. Die als GoldFactory bekannte Cybercrime-Gruppe nutzt die Dringlichkeit der Steuererklärungssaison für ihre Attacken. Sicherheitsanalysen der letzten Tage zeigen, wie die Gruppe Steuerzahler mit bösartigen Anwendungen täuscht, die offizielle Behördenportale nachahmen.

Anatomie eines digitalen Steuerraubs

Der Angriff von GoldFactory ist eine mehrstufige Operation. Sie beginnt mit Social Engineering über Messenger wie WhatsApp, wo sich die Täter als offizielle Stellen ausgeben. Opfer werden auf täuschend echte Phishing-Webseiten gelockt, die legale Steuerportale kopieren. Dort werden sie aufgefordert, eine schädliche Android-App (APK) manuell zu installieren.

Einmal installiert, ermöglichen die Schadprogramme – Varianten der Gigabud.RAT und MMRat-Familien – die vollständige Kompromittierung des Geräts. Diese Remote Access Trojaner (RATs) sammeln sensible Daten durch Methoden wie permanente Bildschirmaufzeichnung. So können die Kriminellen Bankzugangsdaten abfangen und unbefugte Überweisungen von den Konten der Opfer tätigen. Die Kampagne nutzt eine gemeinsame Infrastruktur und missbraucht gleichzeitig über 16 vertrauenswürdige Marken von Regierungen und Finanzinstituten, um ihre betrügerischen Aktivitäten zu skalieren.

Ein wandlungsfähiger und gefährlicher Akteur

GoldFactory ist eine gut organisierte Cybercrime-Gruppe, die mutmaßlich chinesischsprachig ist und seit Mitte 2023 aktiv ist. Sie hat eine Geschichte in der Entwicklung ausgeklügelter Banking-Trojaner für die Asien-Pazifik-Region, mit früheren Kampagnen in Ländern wie Thailand und Vietnam. Ihr Malware-Arsenal ist umfangreich.

Die Gruppe ist für fortschrittliche Taktiken bekannt, die über simples Phishing hinausgehen. Frühere Operationen umfassten den Einsatz gefälschter Callcenter, um ihren Betrug glaubwürdiger erscheinen zu lassen, und sogar das Sammeln von Gesichtserkennungsdaten, um biometrische Sicherheitsmaßnahmen zu umgehen. Diese Fähigkeiten machen GoldFactory zu einer besonders bedrohlichen Gefahr für den Finanzsektor.

Steuerzeit als perfektes Betrugsumfeld

Cybersicherheitsexperten warnen regelmäßig, dass die Steuererklärungsphase global eine Hochzeit für Cyberkriminelle ist. Die hohe Anzahl digitaler Kommunikation zwischen Steuerzahlern und Behörden schafft ein unübersichtliches Umfeld, in dem bösartige Nachrichten leichter untergehen. Kriminelle nutzen das Gefühl von Dringlichkeit und Pflicht aus, um Menschen zu Fehlern zu drängen.

Häufige Taktiken in dieser Zeit sind Phishing-E-Mails und SMS-Nachrichten (Smishing), die Steuerbehörden wie den IRS in den USA imitieren. Diese Nachrichten enthalten oft dringende Warnungen vor Strafen oder sogar Arrestandrohungen. Ein weiteres verbreitetes Schema ist der Business Email Compromise (BEC), bei dem Angreifer Führungskräfte imitieren, um von Personalabteilungen die W-2-Steuerformulare aller Mitarbeiter anzufordern – und so mit einem Schlag die Daten eines gesamten Unternehmens erbeuten.

So können Sie sich schützen

Die GoldFactory-Kampagne unterstreicht den Trend zu immer raffinierteren Betrugsmethoden. Da Steuerbehörden weltweit auf digitale Abläufe setzen, wird die Angriffsfläche für solche Betrügereien voraussichtlich wachsen.

Sicherheitsexperten und Behörden raten zu größter Vorsicht. Seien Sie misstrauisch gegenüber unaufgeforderten Kontaktaufnahmen, die von einer Steuerbehörde zu stammen scheinen. Echte Behörden wie der IRS bitten niemals per E-Mail, SMS oder Social Media um persönliche oder finanzielle Informationen.

Wer sich gezielt vor Steuer‑Phishing, Smishing und RAT‑Infektionen schützen möchte, findet praktische Hilfe im kostenlosen E‑Book „Cyber Security Awareness Trends“. Der Leitfaden erklärt aktuelle Angriffsformen (inklusive Smishing und CEO‑Fraud), zeigt sofort umsetzbare Schutzmaßnahmen und bietet Checklisten für Privatpersonen und Unternehmen. Jetzt kostenlosen Cyber‑Security‑Leitfaden herunterladen

Zu den wichtigsten Schutzmaßnahmen für Bürger und Unternehmen gehören:
* Früh einreichen: Das frühe Absenden der Steuererklärung verkürzt das Zeitfenster, in dem Kriminelle mit gestohlenen Daten eine betrügerische Erklärung einreichen können.
* Direkte Navigation: Geben Sie die Webadresse Ihrer Steuerbehörde oder Bank immer direkt in den Browser ein – klicken Sie nicht auf Links in Nachrichten.
* Anfragen überprüfen: Prüfen Sie unerwartete Anfragen nach sensiblen Daten oder Steuerformularen über einen separaten, vertrauenswürdigen Kanal, etwa einen Telefonanruf.
* Sichere Netzwerke nutzen: Reichen Sie Ihre Steuererklärung nur über eine gesicherte Internetverbindung ein und aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Finanz- und E-Mail-Konten.