Neue Runde für den Dauerbrenner: Phishing-SMS im Namen von FinanzOnline

Wirklich zum Stillstand kam die Betrugsmasche ohnehin nie, aktuell ist aber eine Welle von besonderem Ausmaß zu beobachten. Es geht um die fast schon klassischen Phishing-SMS im Namen von FinanzOnline, die vor einem Ablaufen der Registrierung warnen. In Wahrheit haben es Kriminelle auf die Kontakt- und Bankdaten ihrer Opfer abgesehen.

Phishing SMS Reisepass
Foto: Adobe Stock - Screenshot ÖIAT

Der Ablauf ist gleichermaßen bekannt wie gefährlich. Kriminelle Netzwerke versenden massenhaft und ziellos SMS-Nachrichten, die vor einem Ablaufen der Registrierung für FinanzOnline warnen. Diese stehe kurz bevor, man müsse rasch handeln, um unangenehme Konsequenzen zu vermeiden. Die aktuelle Variante im Wortlaut:

[FinanzOnline] Ihre Registrierung für die FinanzOnline ID läuft am 03.02.2025 ab. Hier erneuern: [LINK]

Kurz und prägnant, aber „gefährlich“ genug, um im ersten Moment für Verunsicherung zu sorgen. Der mitgesendete Link führt auf ein Portal, das der echten FinanzOnline-Landingpage nachempfunden ist. Doch obwohl die Gestaltung der Fake-Seiten immer besser wird, gibt es weiterhin Merkmale, an denen sich die betrügerische Absicht eindeutig erkennen lässt. Werfen wir also einen genaueren Blick auf die aktuell verwendete Variante.

FinanzOnline_Artikelbild
Foto: ÖIAT

FinanzOnline: Daran erkennen Sie den Phishing-Versuch

Die Phishing-Seite sieht dem echten Portal auf den ersten Blick sehr ähnlich. Auf den zweiten Blick zeigen sich aber deutliche Unterschiede.

  • Adresse: Das offizielle FinanzOnline-Portal ist ausnahmslos unter der Adresse finanzonline.bmf.gv.at erreichbar. Die Domain der Fake-Seite klingt zwar ähnlich, lautet aber finanzonline.bmf.gv.at-fon.com/finanzonline/fon. Seit Kurzem kursiert eine Variante mit der Adresse finanz.online-reaktivierung.cc.

  • Eingabemaske: Während die echte Landingpage drei Anmelde-Varianten bietet, existiert auf der Phishing-Seite lediglich eine. Diese fragt zudem ungewöhnlich detaillierte Informationen ab, die für den FinanzOnline-Login üblicherweise nicht benötigt werden.

  • Fotos: Die Grafiken im unteren Bereich der Fake-Seite sind zwar ident mit jenen auf der echten Login-Seite. Allerdings weisen die des Phishing-Portals eine deutlich schlechtere Qualität auf und sind sichtbar verschwommen.

Achtung

Keine SMS vom Finanzministerium! Der wichtigste Merksatz in Zusammenhang mit derartigen Phishing-Fallen: Das Finanzministerium versendet keine SMS-Nachrichten, die einen Link enthalten! Eine derartige Nachricht stammt immer von Kriminellen.

FinanzOnline-Login_Collage
Gegenüberstellung: Oben das echte Login-Portal von FinanzOnline. Unten der betrügerische Nachbau. Foto: ÖIAT

FinanzOnline-Phishing: Was die Falle so gefährlich macht

Auch wenn die Unterschiede zwischen Fake und Original am Ende doch deutlich sind, ist die Phishing-Seite durchaus gut gemacht. Folgende Elemente machen sie besonders gefährlich:

  • Funktionierende Links: Fast alle auf der Seite verfügbaren Links funktionieren und führen auf die echte Website bzw. die Social-Media-Profile des Finanzministeriums. Auch ein offizielles Youtube-Video zur Funktionsweise des neuen Dashboards ist verlinkt. Diese Weiterleitungen sollen der Fake-Seite den Anschein von Legitimität verleihen.

  • Zeitlicher Druck: Wie praktisch alle Betrugsmaschen arbeiten auch die Drahtzieher hinter der analysierten Phishing-Welle mit einem gewissen Stressfaktor. Für die angeblich notwendige Erneuerung der Registrierung bleiben in der Regel nur wenige Tage. Die drohende Gefahr lässt potenzielle Opfer unvorsichtig werden. Auf der Seite selbst wartet eine weitere Warnung: „Achtung! Ihre Angaben sind veraltet und müssen erneut überprüft werden. Bitte aktualisieren Sie diese Daten so schnell wie möglich!"

FinanzOnline_Warnung
Das "Stress-Element" auf der falschen Login-Seite. Foto: ÖIAT

FinanzOnline-Phishing: Was passiert, wenn man in die Falle tappt?

Hinter Fake-Nachrichten im Namen des Finanzamtes verbergen sich unterschiedlichste Ziele. Manchmal sind es die FinanzOnline-Logindaten, auf die es die Betrüger/innen abgesehen haben. Im konkreten Fall geht es um weit mehr Informationen. Die Eingabemaske fragt folgende Daten ab:

  • Vornamen und Nachname
  • Geburtsdatum
  • Postleitzahl und Hausnummer
  • Telefonnummer
  • Ihre Kontonummer
  • Ihre Bank

Der Klick auf den „Weitermachen“-Button übermittelt nicht nur Adress- und persönliche Daten an die Drahtzieher, die sie für andere Maschen nutzen. Zusätzlich wird das Opfer zu einem vermeintlichen Login bei seiner Hausbank weitergeleitet, wo die Abfrage dern Zugangsdaten für das Onlinebanking erfolgt. Die Kriminellen erhalten dadurch vollen Zugriff!

Daten übermittelt? Das sollten Sie jetzt tun!

Wer in die Phishing-Falle getappt ist, sollte so rasch wie möglich Gegenmaßnahmen einleiten. Führen Sie unbedingt folgende Schritte durch:

  • Kontaktieren Sie umgehend Ihre Bank und schildern Sie die Situation! Die Expert/innen wissen, was zu tun ist!

  • Ändern Sie – falls möglich – die Login-Daten für das Onlinebanking!

  • Beobachten Sie Ihr Konto in nächster Zeit genau und achten Sie auf ungewöhnliche Bewegungen!

  • Erstatten Sie Anzeige bei der Polizei!

  • Bleiben Sie wachsam! Die Kriminellen verfügen über Ihre Kontaktdaten und werden versuchen, Sie mit einer anderen Masche zu ködern.

Letzte Aktualisierung: 10. Februar 2026

Für den Inhalt verantwortlich: Österreichisches Institut für angewandte Telekommunikation (ÖIAT)