Die von Microsoft dokumentierte Phishing-Kampagne zeigt eine perfide Strategie: Cyberkriminelle nutzen die psychologische Dringlichkeit der Steuersaison aus, um Nutzer zum Handeln zu zwingen. E-Mails mit gefälschten Refundnotizen, Lohnformularen oder Erinnerungen zur Steuererklärung landen in Postfächern und wirken auf den ersten Blick authentisch. Besonders tückisch: Die Kampagne zielt nicht nur auf Privatpersonen ab, sondern speziell auf Buchhalter und Steuerberater, die ohnehin täglich mit steuerbezogenen Dokumenten arbeiten und deshalb weniger misstrauisch sind.
Die Angriffswelle vom 10. Februar 2026 lief nach einem bewährten Schema ab. Gefälschte IRS-E-Mails behaupteten, dass unter der Electronic Filing Identification Number (EFIN) des Empfängers potenziell irregulär eingereichte Steuererklärungen vorliegen würden. Der Nutzer sollte diese überprüfen, indem er ein vermeintliches “IRS Transcript Viewer”-Programm herunterlädt. Die kriminelle Infrastruktur war dabei raffiniert aufgebaut: Die E-Mails verschickten die Angreifer über Amazon SES, um Sicherheitsfilter zu umgehen. Der Download-Link führte auf die Fake-Seite smartvault[.]im, die das legale Dokumentenverwaltungs-Tool SmartVault nachahmt.
Doch das Tückischste folgte im Hintergrund. Die Phishing-Seite nutzte Cloudflare, um automatisierte Scanner und Bots abzuwehren – nur echte menschliche Nutzer bekamen die präparierte Software serviert: eine manipulierte Version von ConnectWise ScreenConnect. Damit erhielten die Angreifer Fernzugriff auf die Systeme der Opfer und konnten Daten stehlen, Anmeldedaten abgreifen und weiterführende Attacken starten.
Microsoft betont, dass solche legitimen Remote-Monitoring-Tools (RMMs) für Kriminelle besonders wertvoll sind. Laut aktuelle Zahlen der Sicherheitsfirma Huntress ist der Missbrauch von RMM-Software um 277 Prozent Jahr für Jahr gestiegen. Das Problem: IT-Abteilungen nutzen diese Tools täglich und vertrauen ihnen daher – Cyberkriminelle können sich leicht als legitime Systemadministratoren tarnen.
Das größte betroffene Segment sind finanzielle Dienstleistungen (19 Prozent), gefolgt von Technologie und Software (18 Prozent) sowie Einzelhandel und Konsumgüter (15 Prozent). Deutschland sollte aufhorchen: Deutsche Steuerberater und Finanzunternehmen könnten zum Ziel ähnlicher Kampagnen werden, wenn die Angreifer ihre Taktik lokalisieren.
Microsoft empfiehlt Organisationen, Zwei-Faktor-Authentifizierung für alle Nutzer zu erzwingen, Conditional-Access-Richtlinien umzusetzen und E-Mail-Filter zu verstärken. Unternehmen sollten auch ihre Systeme regelmäßig nach unautorisierter RMM-Nutzung prüfen.