Thema "Phishing mit vermeintlichen DATEV-Mails" in Freie Themen

Phishing mit vermeintlichen DATEV-Mails

NadimBhatti — Thu, 05 Jan 2023 10:19:03 GMT

Heute von einem Mandanten zugeschickt bekommen mit Bitte um Prüfung:

Sieht alles täuschend echt aus. Header, Absender, PiPaPo.

Nur die URL sieht **bleep** merkwürdig aus.

Ich gucke mir die Mail da jetzt mal im Original an.

Vielleicht sollten aber alle nochmal wachsamer sein als ohnehin schon.

Phishing mit vermeintlichen DATEV-Mails

andrereissig — Thu, 05 Jan 2023 10:37:23 GMT

Ist die genannte Beraternummer sinnvoll aus Eurer Mitgliedschaft oder nur eine Zahlenkolonne?

Phishing mit vermeintlichen DATEV-Mails

NadimBhatti — Mon, 09 Jan 2023 13:33:23 GMT

Ich habe unsere Daten mal anonymisiert.

Received: from exchange.x.pro (10.0.13.99) by exchange.x.pro

(10.0.13.99) with Microsoft SMTP Server (version=TLS1_2,

cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.2375.28 via Mailbox

Transport; Wed, 4 Jan 2023 14:19:38 +0100

Received: from exchange.x.pro (10.0.13.99) by exchange.x.pro

(10.0.13.99) with Microsoft SMTP Server (version=TLS1_2,

cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.2375.28; Wed, 4 Jan

2023 14:19:38 +0100

Received: from smtp.x.de (10.0.255.100) by exchange.x.pro

(10.0.13.99) with Microsoft SMTP Server (version=TLS1_2,

cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.2375.28 via Frontend

Transport; Wed, 4 Jan 2023 14:19:38 +0100

Received: from smtp.x.de (localhost.localdomain [127.0.0.1])

by smtp.x.de (Proxmox) with ESMTP id 8E69F80DFA

for x.x@x.pro; Wed, 4 Jan 2023 14:19:38 +0100 (CET)

Received-SPF: softfail (datev.de: Sender is not authorized by default to use 'service-aktuell@datev.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=smtp.x.de; identity=mailfrom; envelope-from=service-aktuell@datev.de; helo=hosting2.xentra.nl; client-ip=212.32.242.13

Received: from hosting2.xentra.nl (hosting2.xentra.nl [212.32.242.13])

(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)

key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256)

(No client certificate requested)

by smtp.x.de (Proxmox) with ESMTPS id 9AD6380D05

for x.x@x.pro; Wed, 4 Jan 2023 14:19:37 +0100 (CET)

Received: from 127.0.0.1 (localhost [127.0.0.1])

by hosting2.xentra.nl (8.15.2/8.15.2/Debian-10) with SMTP id 304DJTv9026101

for x.x@x.pro; Wed, 4 Jan 2023 14:19:30 +0100

Date: Wed, 4 Jan 2023 14:19:29 +0100

Message-ID: 202301041319.304DJTv9026101@hosting2.xentra.nl

Content-Type: multipart/alternative;

boundary="===============0955954477524151802=="

MIME-Version: 1.0

Subject: Unbezahlte DATEV-Rechnung

From: DATEV-Serviceinformationen service-aktuell@datev.de

To: x.x@x.pro

X-SPAM-LEVEL: Spam detection results: 2

BAYES_00 -1.9 Bayes spam probability is 0 to 1%

HTML_MESSAGE 0.001 HTML included in message

KAM_DMARC_QUARANTINE 1.5 DKIM has Failed or SPF has failed on the message and the domain has a DMARC quarantine policy

KAM_DMARC_STATUS 0.01 Test Rule for DKIM or SPF Failure with Strict Alignment

MIME_HTML_MOSTLY 0.1 Multipart message mostly text/html MIME

MPART_ALT_DIFF 0.79 HTML and text parts are different

SPF_HELO_NONE 0.001 SPF: HELO does not publish an SPF Record

SPF_SOFTFAIL 0.665 SPF: sender does not match SPF record (softfail)

T_REMOTE_IMAGE 0.01 Message contains an external image

URIBL_BLACK 1.7 Contains an URL listed in the URIBL blacklist [ghftyv.cf]

Return-Path: service-aktuell@datev.de

X-MS-Exchange-Organization-Network-Message-Id: 0ef64914-bdb4-4b64-c360-08daee5654f7

X-MS-Exchange-Organization-AuthSource: exchange.x.pro

X-MS-Exchange-Organization-AuthAs: Anonymous

X-MS-Exchange-Transport-EndToEndLatency: 00:00:00.2160215

X-MS-Exchange-Processed-By-BccFoldering: 15.01.2375.028

Nicht anonymisierte Inhalte in den Verlinkungen und Links durch @Dirk_Jendritzki entfernt.

Phishing mit vermeintlichen DATEV-Mails

NadimBhatti — Thu, 05 Jan 2023 10:39:08 GMT

@andrereissig schrieb:
Ist die genannte Beraternummer sinnvoll aus Eurer Mitgliedschaft oder nur eine Zahlenkolonne?

Ist leer:

Phishing mit vermeintlichen DATEV-Mails

NadimBhatti — Thu, 05 Jan 2023 10:41:26 GMT

Noch fieser: den Herrn Löhr scheint es zu geben im DATEV-Universum

https://www.xing.com/profile/Andreas_Loehr12

Phishing mit vermeintlichen DATEV-Mails

andrereissig — Thu, 05 Jan 2023 10:43:07 GMT

@NadimBhatti schrieb:
Ist leer:

Okay, immerhin. Das wäre jetzt auch echt gruselig gewesen, wenn die gepasst hätte.

Sieht nach einem gut gemachten "Joe Job" aus.

Phishing mit vermeintlichen DATEV-Mails

vogtsburger — Thu, 05 Jan 2023 11:12:16 GMT

... aktuell sind bei mir auch ähnliche E-Mails mit Benachrichtigungen über angebliche Zahlungen (inkl. beigefügtem Beleg) eingetroffen, die sehr raffiniert gemacht sind

... mit einem kleinen, angeblichen Vorschaubildchen des PDF-Belegs im E-Mail-Text, aber 'hinter' dem Bildchen befindet sich ein Link mit einer suspekten URL

Nachtrag:

.. soeben ist schon wieder eine neue E-Mail nach diesem 'Muster' eingetroffen

Phishing mit vermeintlichen DATEV-Mails

Thomas_Müller — Thu, 05 Jan 2023 11:01:48 GMT

Hallo zusammen,

bei dieser Mail handelt es sich leider um eine Phishing-Attacke.

Diese Mail kommt nicht von DATEV. Solche Mails, auch die Art des Betreff, werden nicht von DATEV versendet.

Ich habe dazu mehr Infos für Euch in diesem Beitrag bereitgestellt: Phishing-Attacke-im-Januar-2023-mit-DATEV-E-Mail-Adresse

Viele Grüße hier aus Nürnberg,

Thomas Müller

Phishing mit vermeintlichen DATEV-Mails

siro — Thu, 05 Jan 2023 12:22:02 GMT

@Thomas_Müller

Ich würde hier ja einen Hardfail befürworten

@NadimBhatti schrubte:
Received-SPF: softfail (datev.de: Sender is not authorized by default to use 'service-aktuell@datev.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=smtp.x.de;

Phishing mit vermeintlichen DATEV-Mails

hihao — Thu, 05 Jan 2023 12:31:25 GMT

Guten Tag,

werden die Mails an Steuerbüros verschickt oder an mögliche Mandanten?

Phishing mit vermeintlichen DATEV-Mails

andrereissig — Thu, 05 Jan 2023 12:42:33 GMT

Wie sollen die Betrüger das unterscheiden können? Diese Mails werden wahrscheinlich auch an Empfänger gehen, die DATEV für'n 80er Hit von Trio halten.

Genau wie bei Kontophishing.

Phishing mit vermeintlichen DATEV-Mails

t_r_ — Thu, 05 Jan 2023 12:47:04 GMT

die DATEV für'n 80er Hit von Trio halten.

Ist der an mir vorbei gegangen. 😁

Phishing mit vermeintlichen DATEV-Mails

andrereissig — Thu, 05 Jan 2023 12:51:52 GMT

"DA... DA... DATEV! Ich buch' Dich nicht, Du buchst mich nicht..."

Hielt sich Wochen in den Steuerberatercharts 1982!

Zusammen mit "Deine Steuern im Sand - die die SteuFa nicht fand...hat der Staat nicht bekommen"

Phishing mit vermeintlichen DATEV-Mails

Steuererklärer — Thu, 05 Jan 2023 13:08:49 GMT

Also ich hab die Mail nicht bekommen. Aber ich hab auch so gut wie nie Neue Deutsche Welle gehört ich schwör. 😂

Phishing mit vermeintlichen DATEV-Mails

andrereissig — Thu, 05 Jan 2023 13:30:34 GMT

Da waren immer die größten Knaller drauf! Da fliegen einem die Spiralen aus der Mütze!

Mit dem Tape im offenen Cabrio an der Ampel... da biste Kööönich!

Phishing mit vermeintlichen DATEV-Mails

Claudia_Lorentzen — Thu, 05 Jan 2023 13:30:38 GMT

Die Fake-Mail wurde offenbar an einen beliebigen Verteiler geschickt, der nichts mit DATEV zu tun hat. Natürlich sind damit auch DATEV-Kunden betroffen.

Phishing mit vermeintlichen DATEV-Mails

einmalnoch — Fri, 06 Jan 2023 07:05:53 GMT

@DATEV

DATEV - Wir lassen keine Peinlichkeit aus!

Wie kann man in so einer Situation auch noch eigene Rechnungsberichtigungen versenden?

Gestern Abend Eingang der Mail, erster Gedanke war "jetzt habe ich auch so einen Spam bekommen", heute dann der Löschversuch und dann wird mein mIdentity abgefragt weil DATEV es noch nicht einmal hinbekommt vernünftige pdf Dateien zu erstellen.

Aus dem Lohn nichts gelernt?

Phishing mit vermeintlichen DATEV-Mails

janm — Fri, 06 Jan 2023 08:37:03 GMT

@siro schrieb:
Ich würde hier ja einen Hardfail befürworten

@NadimBhatti schrubte:
Received-SPF: softfail (datev.de: Sender is not authorized by default to use 'service-aktuell@datev.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=smtp.x.de;

Der Empfänger kann ja letztlich immer noch selber entscheiden, ob er auf die "Empfehlung" hört oder ein Softfail wie ein Fail behandelt.

Grundsätzlich wäre ich aber auch beim "... -all"

Phishing mit vermeintlichen DATEV-Mails

stefanbrust — Fri, 06 Jan 2023 10:56:24 GMT

@einmalnoch schrieb:

Wie kann man in so einer Situation auch noch eigene Rechnungsberichtigungen versenden?

Gestern Abend Eingang der Mail, erster Gedanke war "jetzt habe ich auch so einen Spam bekommen", heute dann der Löschversuch und dann wird mein mIdentity abgefragt weil DATEV es noch nicht einmal hinbekommt vernünftige pdf Dateien zu erstellen.

Den Gedanken hatte ich auch...

Phishing mit vermeintlichen DATEV-Mails

eliansawatzki — Fri, 06 Jan 2023 12:20:12 GMT

Ich weiß nicht. Soll DATEV jetzt warten, bis wirklich jeder aus dem Jahreswechsel-Urlaub zurückgekehrt ist, Kenntnis von der Phishing-Attacke erlangt hat und dann noch sein Mail-Postfach aufgeräumt hat. Und erst dann sollen wieder Rechnungen versendet werden? Weil dann kommen die Mails ja ganz sicher von DATEV...

Unabhängig vom Zeitpunkt gilt doch immer, dass E-Mail-Eingänge sensibel zu prüfen sind.

Phishing mit vermeintlichen DATEV-Mails

Sabine_Enachescu — Mon, 09 Jan 2023 08:45:13 GMT

Damit es keine zwei Themen gibt, schließe ich und hier geht es weiter:

Phishing-Attacke im Januar 2023 mit DATEV E-Mail A... - DATEV-Community - 330452