Thema "Phishing-Attacke mit gefälschter DATEV E-Mail Adresse" in Technisches zu Software

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Thomas_Müller — Tue, 06 Sep 2022 15:12:11 GMT

Hallo Community,

leider erleben aktuell DATEV-Kunden aber auch andere, die keine Kunden bei DATEV sind, eine recht auffällige SPAM-Attacke. Nicht neu, aber gerade für Laien schwer zu erkennen, dass es sich bei den Mails um Fälschungen handelt.

Anbei ein Screenshot, der ein aktuelles Beispiel zeigt. Die Angreifer verwenden hierbei die Mailadresse noreply@uploadmail.datev.de:

Erkennen kann man den Phishing-Angriff bisher nur an zwei sehr eindeutigen Merkmalen. An Punkt 1 wurde der Text manipuliert. Dabei wurde dem Wort Rechnung der Dateianhang „pdf“ angefügt. Der Punkt zur Trennung des Namens von der Dateiendung wurde aber vergessen. In Punkt 2 ist ein Hyperlink hinterlegt, der auf eine sehr DATEV-untypische Adresse verweist. Hier kann es geübten Augen auffallen, dass dieser Link nicht zu den bekannten DATEV-Domänen führt.

Viele Grüße aus Nürnberg,

Thomas Müller

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Tue, 06 Sep 2022 15:26:10 GMT

Danke @Thomas_Müller! DATEVnet schützt sicher auch davor 😏!

Nur an den 2 Merkmalen kann man's erkennen? Das heißt, die E-Mail Signatur, wie sie im Footer steht, ist auch vorhanden und korrekt? Das würde ja heißen, wenn man dem Text glaubt, dass wir nicht mehr sicher sein können, dass die E-Mail von DATEV gesendet wurde, oder?

Diese E-Mail wurde mit einem Zertifikat der DATEV eG signiert. Damit können Se sicher sein, dass die Nachricht so von uns gesendet wurde.

Really? 🤔

Und die SMTP Adresse ist auch nach dem "Nachschauen" noch jene von DATEV? Nur als Beispiel.

Leider ist der Screenshot nicht hochauflösend. Sobald man ein bisschen heranzoomt, wird's pixelig 😣.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Nutzer_8888 — Tue, 06 Sep 2022 15:47:42 GMT

Wichtiger Hinweis, aber so auffällig, wie Sie dies Darstellen ist das halt nicht.

Unterstreicht aber, dass man bei Links in E-Mails (die ja auch durch die Datev durchaus verschickt werden) immer auf die Zieldomain achten muss.

Leider ist dies in meinen Augen schon ein etwas gehobenerer Anspruch. Nicht jeder liest so eine Mails in allen Details.....

Es sollten hier nur signierte Mails von der Datev geschickt werden...

Sollte bei der Absenderdomain nicht auch ein SPF-Record wirken?

Viele Grüße

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Nutzer_8888 — Tue, 06 Sep 2022 15:33:35 GMT

Das mit der Signatur steht nur so da - oder?

Wurde die Mail in Datevnet empfangen und falls ja, wie kann man unter der Domain erfolgreich senden von einem ggf. anderen Server oder hat jemand unberechtigt Zugriff auf den Datev-Server oder, oder, oder ....???

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Thomas_Müller — Tue, 06 Sep 2022 15:45:54 GMT

Hallo @metalposaunist ,

DATEVnet kann davor schützen. Richtig.

@metalposaunist schrieb: Nur an den 2 Merkmalen kann man's erkennen? Das heißt, die E-Mail Signatur, wie sie im Footer steht, ist auch vorhanden und korrekt?

Also Menschen die in Bezug auf E-Mail Phishing Experten-Wissen haben, können solche Mails auch noch an anderen Kriterien enttarnen. Dir sind da sicher auch noch andere Parameter eingefallen.

Das Grundproblem bei diesen Phishing-Attacken liegt ja im SMTP-Protokoll. Es gibt keine Authentifizierungsmöglichkeit.

Leider ist der Screenshot nicht hochauflösend. Sobald man ein bisschen heranzoomt, wird's pixelig

Sorry 🙈 - ich habe leider nur diese Auflösung erhalten. Mal sehen ob ich noch eine andere auftreiben kann. Ich denke aber, dass der Absender des Screenshots die Mail vorbildlich gelöscht hat, ohne die Links anzuklicken 😎

Und die SMTP Adresse ist auch nach dem "Nachschauen" noch jene von DATEV? Nur als Beispiel.

Ich habe leider nur den Screenshot, und den Hinweis auf weitere Mails erhalten. Eine originale Mail liegt mir leider nicht vor.

Ich wäre auch sehr gern in die Analyse zum Urheber gegangen - geht aber leider in dem Fall nicht.

VG aus Nürnberg

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Thomas_Müller — Tue, 06 Sep 2022 15:49:08 GMT

Hallo @Nutzer_8888 ,

richtig - die Informationen zur Signatur sind nur als Fake-Text eingefügt worden. Mehr steckt da nicht dahinter.

Blöde nur, dass vielen Nutzern das nicht auffällt. Daher muss man zu dem Phishing-Thema immer wieder informieren und den Nutzern die potentielle Angst nehmen, dass sie zu viel oder etwas falsches melden könnten.

Lieber einmal zu viel an der Stelle über auffälliges Verhalten informieren als zu wenig.

VG aus Nürnberg

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Nutzer_8888 — Tue, 06 Sep 2022 15:52:54 GMT

Leider ist es wohl nur eine Frage der Zeit, bis jemand unachtsam oder auch nur durch einen "Zufallsklick" der Maus auf sowas reinfällt.

Deshalb sind solche Hinweise sehr wichtig und auch gut, um uns Nutzer zu schulen und zu sensibilisieren... (Besser man lernt aus der Erfahrung der "Anderen"...) 😉

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Tue, 06 Sep 2022 16:04:36 GMT

@Thomas_Müller schrieb:
Ich wäre auch sehr gern in die Analyse zum Urheber gegangen - geht aber leider in dem Fall nicht.

Muss man wieder von DATEV lesen: geht nicht 😣 . Warum nicht?

Dann warten wir mal ab und gehen der E-Mail mal genauer auf den Grund 🤓. Wobei: Habe eingestellt bzw. stelle immer ein: E-Mail nur im Fehlerfalle. Dann bekomme ich solch eine E-Mail ja gar nicht mehr 😅.

@Nutzer_8888 schrieb:
Leider ist es wohl nur eine Frage der Zeit, bis jemand unachtsam oder auch nur durch einen "Zufallsklick" der Maus auf sowas reinfällt.

Aber größer kann der Lerneffekt jetzt wohl nicht sein, oder 😉? Viel besser kann man ja kaum darstellen: Sei achtsam & skeptisch zu jeder Zeit, vollkommen egal, wer Dir angeblich per E-Mail schreibt. Ob's DATEV oder der Papst persönlich ist - no matter.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Thomas_Müller — Tue, 06 Sep 2022 16:19:08 GMT

@metalposaunist schrieb: Muss man wieder von DATEV lesen: geht nicht

. Warum nicht?

Wenn die betroffene Person die Mail endgültig gelöscht hat, bevor die Information an uns weitergereicht wurde, die Infrastruktur nicht der DATEV gehört - was wäre denn Dein Vorschlag?

Hat nichts mit Unfähigkeit oder Widerwillen zu tun, ist dem Verhalten des Users geschuldet, das nicht falsch war!

Wir bekommen schon noch die Gelegenheit der Analyse und wie geschrieben, ich schaue sehr gerne ob ich zu einem anderen Beispiel noch einen besser aufgelösten Screenshot erhalten.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Tue, 06 Sep 2022 16:22:47 GMT

@Thomas_Müller schrieb:
was wäre denn Dein Vorschlag?

E-Mail Archivierung? 😜 Sind wir doch alle irgendwie zu verpflichtet, oder? Richtet man am besten so ein, dass automatisch jede eingehende E-Mail archiviert wird, bevor die Person sie löschen kann, oder? Interessiert Microsoft beim Exchange online beim Speicherplatz nicht die Bohne 😎.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

janm — Tue, 06 Sep 2022 16:39:15 GMT

@Thomas_Müller schrieb:

Das Grundproblem bei diesen Phishing-Attacken liegt ja im SMTP-Protokoll. Es gibt keine Authentifizierungsmöglichkeit.

Da kann man ja mehr oder weniger gut mit SPF - wie es die DATEV im Upload Mail Fall macht - "gegensteuern". Ansonsten hilft DKIM - hier liegt mir jetzt keine Mail vor, um zu sehen, ob diese DKIM signiert ist / sein sollte. Ein DMARC Record ist ja vorhanden.

Jetzt könnte man fragen, warum ist im SPF "~all" anstatt "-all" bzw. wieso schlägt DMARC ein "quarantine" anstatt eines "reject" vor? Die bessere Frage wäre aber, warum nimmt man die Mail an? Da wurde doch sicherlich gegen SPF verstoßen und eine DKIM Signatur lag vermutlich auch nicht vor. (Traurigerweise kenne ich vermutlich die mögliche/n Antwort/n, aber dann soll sich auch keiner wundern. ;-))

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

wielgoß — Tue, 06 Sep 2022 16:46:32 GMT

E-Mail Archivierung? Sind wir doch alle irgendwie zu verpflichtet, oder?

Hallo Daniel,

eine gesetzliche Verpflichtung alle Mails zu archivieren gibt es nicht.

Beste Grüße

Christian Wielgoß

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

cwes — Tue, 06 Sep 2022 18:50:46 GMT

@metalposaunist schrieb:
@Thomas_Müller schrieb:
Ich wäre auch sehr gern in die Analyse zum Urheber gegangen - geht aber leider in dem Fall nicht.
Muss man wieder von DATEV lesen: geht nicht 😣 . Warum nicht?

Urheber dürfte hier doch der Spam-Versender sein. Und der wird nicht schreien "hier bin ich". Und Datev wird die dafür notwendige BlackOps-Abteilung fehlen --- hoffe ich zumindest...

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Tue, 06 Sep 2022 19:10:55 GMT

@cwes schrieb:
Urheber dürfte hier doch der Spam-Versender sein.

Ich hab' den Eingangspost von @Thomas_Müller aber nicht so verstanden, dass der Screenshot eine Mail darstellt, die DATEV selbst nicht vorliegt. Ich bin davon ausgegangen, wenn DATEV solche Screenshots veröffentlicht, dass diese auch von DATEV stammen bzw. DATEV diese Mail in dem Fall vorliegt.

Dann schreibt man doch klar dran, dass der Screenshot von einem Genossen eingesandt wurde und DATEV selbst bisher keine solch E-Mail erreicht hat. Dann hätte man sich auch die geringe Auflösung leichter selbst erklären können. Man hätte in die Beschreibung des Bildes den Urheber ja nennen können.

Vielleicht ist das aber auch wieder so (m)eine Macke als Hobbyfotograf, Copyright und anderen Dingen, die man beachten muss.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

einmalnoch — Wed, 07 Sep 2022 07:03:19 GMT

@janm

Die Mailannahme fand ja bei einem Nutzer statt, also nicht DATEV. Der hat im Rahmen seiner Möglichkeiten ja eigentlich alles richtig gemacht, für die Aufklärung des Falles aber alles falsch. Nur, wie kann ein Laie wissen, was in einer solchen Sache zu tun ist?

Er hat gewarnt und das mit einem Screenshot. Insoweit gut gemacht.

Wie hätte ein, relativ, unbedarfter User denn eine solche Mail weitergeben können? Weiterleiten an DATEV wäre vermutlich von den Systemen der DATEV unterbunden worden. ZIP Container und per SK an DATEV? Der Empfänger war kein Berater, also auch keine Option.

Es gibt viele Fragen die auch @Thomas_Müller nicht beantworten kann, er hat uns sensibilisiert und das ist auch gut so, Danke.

Man kann den Mailserver auch mit vielen Dingen härten, nur häufig kommen dann keine Mails mehr an. Das erlebt jeder, der einen eigenen Mailserver am Netz betreibt. Selbst die ganz Großen im Geschäft versuchen ja immer wieder einmal etwas durchzusetzen, klappt aber nicht immer weil selbst die die Einstellungen im Empfang vermurksen. Nach einiger Zeit bekommt dann den 500 irgendwas nicht mehr. In Senderichtung schaffen die es aber auch häufig nicht die eigenen Regeln einzuhalten.

Gegen Spoofing hilft aber auch Vieles aus der Trickkiste nicht, solche Mails rutschen auch den besten Scannern schon mal durch.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

janm — Wed, 07 Sep 2022 07:40:45 GMT

@einmalnoch schrieb:

Die Mailannahme fand ja bei einem Nutzer statt, also nicht DATEV.

Der Nutzer nutzt ja auch irgendwo einen Mailserver (und eine Mailsecurity) und dort ist die Frage, wieso bei meinen Vermutungen - sofern Sie zutreffen - dieser Mailserver die Mail annimmt. Der User _sollte_ sowas halt nicht bekommen.

Ansonsten könnte die DATEV halt mit dem SPF Record und dem DMARC Record andere "Empfehlungen" geben, was mit einer solchen Mail auf der Empfängerseite passieren soll. Letztlich muss der Empfänger aber auch auf SPF / DKIM / DMARC prüfen und dann eine Entscheidung treffen, was dann der Mail passieren soll.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Wed, 07 Sep 2022 07:48:27 GMT

@einmalnoch schrieb:
ZIP Container und per SK an DATEV?

Du bist ja lustig 😜. An einen SK kann man nicht mal eine MSG Outlook Nachricht hängen 😅. ZIP? Unterstützt DATEV hier nicht.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

einmalnoch — Wed, 07 Sep 2022 08:00:56 GMT

@metalposaunist

Da ich so etwas befürchtet habe, wurde das ja als Frage formuliert.

Das Du das gleich mal ausprobieren musstest... 😅

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

janm — Wed, 07 Sep 2022 08:01:30 GMT

@einmalnoch schrieb:

Gegen Spoofing hilft aber auch Vieles aus der Trickkiste nicht, solche Mails rutschen auch den besten Scannern schon mal durch.

Hier hilft halt auch ein lieber Ablehnen wie Annehmen. Leider gibt es immer noch viel zu viele Menschen, die der Meinung sind, dass jeden Moment der riesengroße Auftrag per Mail eintrudelt. Und da es jederzeit so sein kann, wird auch lieber bei "verdächtigen" Mails geklickt. 😉

Zusätzlich wird es - wie beim Thema Security allgemein - immer unangenehmer und komplexer desto "sicherer" es wird. Das wären ein paar Stichworte in die Richtung: SPF, DKIM / DMARC, DANE (ggfs. auch "nur" MTA-STS).

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

einmalnoch — Wed, 07 Sep 2022 08:07:09 GMT

@janm

Das können wir gerne auf unserem Niveau diskutieren, dem Unternehmen welches man gerade die Verknüpfung des Mailaccounts beim Provider mit Outlook hinbekommt werden wir hier nicht helfen können.

Bei solchen Aktionen hilft nur informieren, informieren und nochmals informieren.

Btw. ich habe gerade eine schlecht gemachte Mail eines Kreditinstituts gelöscht, so schlecht war die gemacht. Das Problem dabei war, das die echt war...

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Wed, 07 Sep 2022 08:20:40 GMT

@einmalnoch schrieb:
Das Du das gleich mal ausprobieren musstest... 😅

Ja sicher! Setze ungern Behauptungen in die Welt. Alles, was man selber testen kann, erst tun und dann DATEV anmeckern 😜. Man schießt sich ja nur ungern ein Eigentor ⚽.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

einmalnoch — Wed, 07 Sep 2022 10:19:43 GMT

@metalposaunist

Der Sicherheitsgedanke geht ja vor. Aber wie kann denn in so einem Fall etwas zur Analyse geschickt werden? Wenn die Dinger nicht in Massen im Filter von DATEVnet hängenbleiben können die Systeme auch nichts lernen.

Die Mail weiterleiten und dann als Spammer geblockt zu werden kann nicht die Lösung sein.

@Thomas_Müller: Gibt es einen Standardwert für so etwas? Ein ja oder nein reicht aus.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

vogtsburger — Wed, 07 Sep 2022 08:44:43 GMT

... habe den Thread nicht in epischer Länge und Breite verfolgt, aber aus meiner Erfahrung reicht eine Weiterleitung an spam@datev.de

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

chrisocki — Wed, 07 Sep 2022 09:20:47 GMT

Moin zusammen,

ich kann bestätigen, dass solche Mails im Umlauf sind. Meine bessere Hälfte (StBin) hat auf ihrem privaten web.de-Account heute morgen eine solche SPAM-Mail erhalten.

Ich kann ja mal nachhaken, ob die Mail im Papierkorb liegt und dann ggf. ScreenShots anfertigen, wenn gewünscht.

Ansonsten kann ich die allgemeinen Thesen als Techniker bestätigen:

1. Die Klartext-Adresse als vermeintlicher Absender kann problemlos gefälscht werden. Dann ist aber auch keine gültige elektronische Signatur der DATEV vorhanden (S/MIME-Signatur = "Pferdesportanhänger")

2. Die Textsignatur in der Mail ist ja wohl kein Hinweis auf Echtheit... Da kann der Spammer Copy&Paste bemühen.

3. Links sind immer, egal von welchem Absender kritisch zu betrachten. Im Zweifel den vermeintlichen Absender kontaktieren. In Fall meiner Frau war es recht einfach, da Sie angeblich der Absender war... was ein Depp (der Spammer).

4. DATEVnet kann hier ggf. unterstützen, je nach Qualität der SPAM-Mail aber auch nicht.

5. Archivierungspflicht gibt es nicht. Es gibt eine Aufbewahrungspflicht für steuerrelevante Unterlagen. Und auch dieser Begriff ist in der letzten Fassung der GoBD anders gefasst worden. Wenn ich richtig liege bezieht es sich nun auf buchungsrelevante Unterlagen.

D.h. SPAM-Mails können und dürfen gelöscht werden. Auch aus den Archiven oder diese werden erst gar nicht archiviert.

Beste Grüße
Christian Ockenfels

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Thomas_Müller — Wed, 07 Sep 2022 13:24:01 GMT

Hallo Community,

anbei noch ein neuer Status aus der DATEV. Die Kolleginnen und Kollegen aus der E-Mail-Technik haben mich darüber informiert, dass im Bereich SPF und DMARC, gestern Abend und heute Morgen, noch einmal Härtungsmaßnahmen ergriffen wurden. Damit ist es nun für alle Nutzer der DATEV-Mails noch besser möglich auf Phishing-Attacken zu reagieren - Vertraulich von Nicht-Vertraulich zu unterscheiden. Wird also DMARC und SPF eingesetzt, kann genau festgestellt werden, ob die Mail wirklich von der DATEV kommt oder nicht.

Viele Grüße hier aus Nürnberg,

Thomas Müller

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Nutzer_8888 — Wed, 07 Sep 2022 13:44:28 GMT

@Thomas_Müller schrieb: im Bereich SPF und DMARC, gestern Abend und heute Morgen, noch einmal Härtungsmaßnahmen ergriffen wurden.

Das heißt jetzt was? Wurde nun ein SPF record gesetzt (das wäre dann schon ein grober Schnitzer in der Ursprungskonfiguration), DKIM aktiviert und / oder DMARC-Einstellungen ergänzt?

Wird denn von den Datev-Mailservern (wir sind SmartIT mit ExchangeModul) beim Empfang SPF, DKIM und DMARC schon immer ausgewertet?

Schutz vor Missbrauch der eigenen Mailadresse im DatevUmfeld:

Wie verhält sich das beim Senden eigener Mails (umgeleitete Mail-Domain "MX-Record") über die Datev-Server? Meines Wissens nach gibt es da nur den SPF-Record?! Gibt es Möglichkeiten auch DKIM und DMARC in solchen Fällen bei gesendeten Mails zu nutzen??

Bitte ggf. an die für diese Konstellationen zuständigen Kollegen der E-Mail-Technik weiterleiten.

Viele Grüße

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Steuererklärer — Wed, 07 Sep 2022 14:02:37 GMT

Also wirklich. Wozu signiert DATEV seine Mails, wenn nicht einmal DATEV-Mitarbeiter auf diese Signaturen hinweisen? Eine echte DATEV-Mail sieht - in meinem geliebten Thunderbird - so aus:

Wobei die S/MIME-Signatur das wirkliche Sicherheitsmerkmal ist. Der Mailclient entscheidet, wie er diese anzeigt. Das kann ein Symbol sein oder wie hier ein Button, hinter dem sich das Fenster "Nachrichten-Sicherheit" öffnet. Jedenfalls ist es nicht ein Fließtext in der angeblich signierten Mail.

Hier kommt eine gültige DKIM-Signatur dazu, erkennbar an der grünen Hinterlegung der Absenderadresse. Sie zeigt, daß die Mail wirklich vom angegebenen Server stammt. Hier ist auch schon eine rote Hinterlegung aufgetaucht, wenn bei DATEV auf dem Server etwas schiefläuft...

Aber mitdenken ist eben Pflicht. Wir würden auch nicht auf ein bedrucktes Blatt Kopierpapier herausgeben, auf dem steht: "Ich bin ein 100-Euro-Schein".

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Nutzer_8888 — Wed, 07 Sep 2022 14:45:51 GMT

Im Outlook werden die S/MIME-Signaturen natürlich auch angezeigt, es ist aber nicht ersichtlich, ob SPF, DKIM, DMARC o.ä. geprüft und wie diese Prüfungen ausgegangen sind.

In vielen anderen Clients kann man diese Merkmale alle oder zum Teil bei einer empfangenen Mail einsehen.

Mich interessiert brennend, wie die Datev-Server diesbezüglich konfiguriert sind (besonders bei Datev-Net oder ExchangeModul).

Viele Grüße

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Wed, 07 Sep 2022 14:37:28 GMT

Und bei Outlook im Web kommt als Standard: Kann S/MIME hier nicht prüfen. Installiere doch erstmal das AddOn im Microsoft Edge dazu. Okay?

Und nachher gibt's das nicht für FireFox 😱😂.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Gelöschter Nutzer — Wed, 07 Sep 2022 15:12:06 GMT

Hallo Herr Müller,

informiert die Datev die DUO Anwender entsprechend? Ich bin der Meinung, dass eine Info von mir an meine DUO Mandanten mit einem Hinweis auf Ihren Beitrag und den Banner eher das Vertrauen in die Datev mindert, als wenn die Datev proaktiv auf die DUO Anwender zugeht.

Schöne Grüße

Heike Wolf

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Steuererklärer — Wed, 07 Sep 2022 15:17:05 GMT

In Thunderbird gibt es dafür das Addon "DKIM Verifier".

Outlook wurde natürlich von Menschen erschaffen, die wohl heute noch sagen: Das mit diesem Internet, das legt sich auch wieder. 😄

Apropos schlechte Software: wieso kann man in dieser seltsamen DATEV-Forensoftware eigentlich nur EINEN Beitrag zitieren, diesen nur komplett, und auch nur, wenn man auf diesen antwortet? So schlecht löst das keine andere Forensoftware.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Gelöschter Nutzer — Wed, 07 Sep 2022 15:19:22 GMT

geht damit auch einzeln ...

habe ich aber auch erst später entdeckt...

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Wed, 07 Sep 2022 15:19:45 GMT

@Steuererklärer schrieb:
So schlecht löst das keine andere Forensoftware.

Deshalb: Tipp für Power-Zitierer zur Nutzung von Mehrfachzitate

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

wielgoß — Wed, 07 Sep 2022 15:24:40 GMT

Hallo @Gelöschter Nutzer ,

in DATEV Unternehmen online (Übersicht) ist unter Aktuelles ein entsprechender Link mit dem Ziel

https://www.datev.de/web/de/mydatev/online-anwendungen/datev-unternehmen-online/meldungen-fuer-unternehmen/phishing-attacke-mit-datev-als-absender/?stat_Mparam=int_rss_datev-de_online-service-unternehmen-online

eingestellt.

Beste Grüße

Christian Wielgoß

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Steuererklärer — Wed, 07 Sep 2022 15:30:15 GMT

Ah, Abführungszeichen... Zitat statt Zitieren...

Geht aber auch NUR einzeln, weil in meiner Zwischenablage ist ja nur ein Zitat auf einmal. Und ich sehe beim Antworten nur den Beitrag, auf den ich antworte. Die anderen nicht.

Aber das hier gefällt mir:

Wenn man nun unter https://www.datev-community.de/t5/user/myprofilepage/tab/user-macros einen Textbaustein z.B. mit dem Titel Zitat und dem Inhalt <blockquote><hr><p><br></p><hr></blockquote> anlegt

Das ist intuitiv, das mach ich bestimmt so. 😂

Alternative wäre, DATEV wechselt zu einem der kostenlos verfügbaren freien Forenprogramme. Die haben auch nicht beim Seitenaufruf, beim Login und bei jedem Antworten diese Gedenkminute...

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Nutzer_8888 — Wed, 07 Sep 2022 15:31:08 GMT

@Steuererklärer schrieb: Outlook wurde natürlich von Menschen erschaffen, die wohl heute noch sagen: Das mit diesem Internet, das legt sich auch wieder.

Auch wenn es nicht gefällt und bessere Alternativen existieren, aktuell dürfte das Outlook trotzdem der meistgenutzte Client zumindest im Firmenumfeld sein, und das sind nicht nur IT-Dummies....

Selbiges gilt für das Office an sich (oder Microsoft 365) und andere MS-Produkte....

Stimme aber zu, dass man bei diesen Softwareprodukten als "User" quasi an vielen Stellen hinsichtlich Datenschutz und Einstellungen praktisch enteignet wird...

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Nutzer_8888 — Wed, 07 Sep 2022 15:32:13 GMT

@Steuererklärer schrieb: Geht aber auch NUR einzeln, weil in meiner Zwischenablage ist ja nur ein Zitat auf einmal. Und ich sehe beim Antworten nur den Beitrag, auf den ich antworte. Die anderen nicht.

Dazu kann man einen zweiten Tab im Browser parallel aufmachen (am besten in extra Fenster), aus dem man dann die Zitate kopieren und den Verlauf einsehen kann.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Steuererklärer — Wed, 07 Sep 2022 15:31:54 GMT

@Nutzer_8888 schrieb:
Dazu kann man einen zweiten Tab im Browser parallel aufmachen (am besten in extra Fenster), aus dem man dann die Zitate kopieren und den Verlauf einsehen kann.

Jaja, ich hörte davon.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Thomas_Müller — Wed, 07 Sep 2022 15:31:55 GMT

Hallo @Nutzer_8888 ,

klar leite ich den Input zum Thema gerne weiter 👍

Sensibilisierung ist in solchen Fällen sehr wichtig. Danke für Eure Unterstützung dabei.

VG aus Nürnberg,

Thomas Müller

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Wed, 07 Sep 2022 15:32:33 GMT

@Steuererklärer schrieb:
Geht aber auch NUR einzeln, weil in meiner Zwischenablage ist ja nur ein Zitat auf einmal. Und ich sehe beim Antworten nur den Beitrag, auf den ich antworte. Die anderen nicht.

Deshalb gab es ja 😉: DATEV Community: Be Like A Pro - Chapter 1: on Windows

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Nutzer_8888 — Wed, 07 Sep 2022 15:34:04 GMT

Ist halt nur ein workaround...

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

vogtsburger — Wed, 07 Sep 2022 15:42:03 GMT

@metalposaunist schrieb:
[...] Deshalb gab es ja : DATEV Community: Be Like A Pro - Chapter 1: on Windows [...]

... ich hatte ja immer darauf gehofft, dass es ein YouTube-Video davon geben wird

... wollte wenigstens mal einem Tastatur-/Maus-Akrobaten beim 'Zaubern' zusehen

... obwohl man die 'Zaubertricks' vermutlich doch nicht lernen könnte, aber ein paar Anregungen könnten schon hängen bleiben

... man weiß dann wenigstens, was theoretisch auch an der eigenen 'Kiste' möglich wäre 😄

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Wed, 07 Sep 2022 15:47:53 GMT

@vogtsburger schrieb:
... ich hatte ja immer darauf gehofft, dass es ein YouTube-Video davon geben wird

Kann mich nicht teilen und meine Ansprüche an so ein Video sind hoch; sodass ich die selber nicht erfüllen können würde und es hat sich noch kein YouTube Pro Experte bei mir gemeldet 😉.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

siro — Thu, 08 Sep 2022 07:19:58 GMT

Hallo @Thomas_Müller

warnen Sie denn auch noch die Datev Nutzer per Datev Mitteilung oder gesondert per E-Mail? Weil ja nur ein kleiner Teil hier in der Community unterwegs ist.

mfG

Siegbert Rother

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

marcohüwe — Thu, 08 Sep 2022 09:51:49 GMT

@Thomas_Müller : müssen wir jetzt alle UO_Mandanten selbst informieren, oder kommt/kam da gezielt etwas von DATEV?

Z.B. an alle bekannten E-Mail-Adressen aus Upload-Mail, oder allen E-Mail-Adressen der Zugangsmedien usw.

Ansonsten wäre vielleicht ein Info-Dokument oder ein eigenständiger Beitrag (wo nur DATEV reinschreiben kann) hilfreich. Ich verliere hier den Überblick.

Danke 🙂

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Moonshine — Thu, 08 Sep 2022 10:10:56 GMT

Das wäre tatsächlich interessant zu wissen, wen man warnen muss.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

m_brunzendorf — Thu, 08 Sep 2022 10:32:40 GMT

@marcohüwe schrieb:
@Thomas_Müller : müssen wir jetzt alle UO_Mandanten selbst informieren, oder kommt/kam da gezielt etwas von DATEV?

Ist nicht ausreichend, was Herr Wielgoß oben in seinem Beitrag schrieb?

@wielgoß schrieb:
Hallo @Gelöschter Nutzer ,

in DATEV Unternehmen online (Übersicht) ist unter Aktuelles ein entsprechender Link mit dem Ziel

https://www.datev.de/web/de/mydatev/online-anwendungen/datev-unternehmen-online/meldungen-fuer-unternehmen/phishing-attacke-mit-datev-als-absender/?stat_Mparam=int_rss_datev-de_online-service-unternehmen-online

eingestellt.

Beste Grüße

Christian Wielgoß

Muss/soll da wirklich noch was gemacht werden?

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

andrea3110 — Thu, 08 Sep 2022 12:00:32 GMT

Ich werde unsere DUO-Mandanten separat informieren, denn die Hinweise und Links auf der DUO-Startseite nimmt meiner Erfahrung nach niemand zur Kenntnis.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

siro — Thu, 08 Sep 2022 12:08:35 GMT

@m_brunzendorf schrieb:
Ist nicht ausreichend, was Herr Wielgoß oben in seinem Beitrag schrieb?
Muss/soll da wirklich noch was gemacht werden?

Ja, weil wenn jemand nur mit dem Belegtransfer arbeitet, oder in der Kanzlei mit Rewe wird er diesen Hinweis nie sehen

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

m_brunzendorf — Thu, 08 Sep 2022 12:25:17 GMT

Dann kann sich jede Kanzlei ja was eigenes überlegen.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Fassungsloser — Thu, 08 Sep 2022 12:41:39 GMT

Den Mandanten gegenüber hätte ich die Meldung sowieso weniger technisch, sondern umgangssprachlicher bzw. allgemeinverständlicher formuliert.

Es wird so Manchen geben, der den Begriff "Phishing" für einen Schreibfehler hält

Vor allem würde ich auf die möglichen Konsequenzen hinweisen und Handlungsempfehlungen geben, wie z.B.

sofort löschen !

oder

keine Links anklicken !

usw.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

AW- — Thu, 08 Sep 2022 13:28:50 GMT

anbei noch ein neuer Status aus der DATEV. Die Kolleginnen und Kollegen aus der E-Mail-Technik haben mich darüber informiert, dass im Bereich SPF und DMARC, gestern Abend und heute Morgen, noch einmal Härtungsmaßnahmen ergriffen wurden. Damit ist es nun für alle Nutzer der DATEV-Mails noch besser möglich auf Phishing-Attacken zu reagieren - Vertraulich von Nicht-Vertraulich zu unterscheiden. Wird also DMARC und SPF eingesetzt, kann genau festgestellt werden, ob die Mail wirklich von der DATEV kommt oder nicht.

richtig cool wäre es jetzt halt noch wenn ihr DKIM in einer einfachen Weise den Kanzleien zur Verfügung stellen würdet, welche DATEVnet Direktmails etc. benutzen.. Dann könnten auch die Kanzleien diese Härtungsmaßnahmen mittels DMARC durchführen. Was spricht dagegen?

hier noch die Rückmeldung zum Thema DKIM/DMARC: Offizielle Infos oder Ankündigungen kann ich dazu leider derzeit nicht vermelden. Ich kann aber sagen, dass wir beide Technologien seit einiger Zeit aktiv beobachten und (ergebnisoffene) Abstimmungsprozesse bei uns dazu laufen. Sobald es Neuigkeiten dazu gibt, informiere ich hier wieder gern.

@Stefan_Maetz gibt es denn hierzu schon Neuigkeiten bezüglich der "(ergebnisoffene) Abstimmungsprozesse"

siehe dazu auch: https://www.datev-community.de/t5/Technisches-zu-Software/DATEVnet-E-Mail-Eingang-von-Exchange-Online-derzeit-gest%C3%B6rt/m-p/278088/highlight/true#M23324

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

skreuschner — Fri, 09 Sep 2022 07:14:38 GMT

im Übrigen bieten andere betroffene Unternehmen sogar die Möglichkeit, auffällige Mails auf deren Echtheit zu prüfen - strato.de zum Beispiel, könnte ja DATEV auch mal drüber nachdenken

ich bin da voll bei dir

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

peter — Fri, 09 Sep 2022 07:17:10 GMT

Hallo,

könnte ja DATEV auch mal drüber nachdenken

es gibt die E-Mail-Adresse spam@datev-de

Die an diese Adresse weitergeleiteten E-Mails werden von DATEV geprüft und man erhält eine entsprechende Prüfmeldung (wobei das durchaus 1 oder 2 Tage dauern kann).

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Fri, 09 Sep 2022 07:24:02 GMT

@skreuschner schrieb:
im Übrigen bieten andere betroffene Unternehmen sogar die Möglichkeit, auffällige Mails auf deren Echtheit zu prüfen - strato.de zum Beispiel, könnte ja DATEV auch mal drüber nachdenken

Setzt voraus, dass man dann strato.de oder der DATEV bzw. jeweils deren Ergebnis "blind" vertraut. Würde ich nie tun. Ich verlasse mich schon länger meist nur auf mich selbst. Gut, ich bin IT Freak. Da sehe ich das natürlich wieder anders.

@peter: 1 bis 2 Tage? OK. Kann ich nachvollziehen. Haben wir ggf. meist die Zeit dazu? E-Mail ist ja wohl oft ein Echtzeitsystem statt Informationssystem.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

peter — Fri, 09 Sep 2022 08:03:23 GMT

Hallo @metalposaunist

@peter: 1 bis 2 Tage?

das war zugegebenermaßen meine freie Interpretation. Datev schreibt in Dokument 1012978

E-Mails, die Ihnen besonders suspekt erscheinen, können Sie im Original zur Überprüfung kostenfrei an die DATEV E-Mail-Adresse spam@datev.desenden. Die E-Mail wird geprüft und Sie erhalten innerhalb weniger Tage eine Rückmeldung zum Ergebnis...

Als ich das das letzte Mal eine E-Mail prüfen ließ kam am Folgetag eine Einschätzung.

Haben wir ggf. meist die Zeit dazu?

Die Zeit nehme ich mir wenn andere Prüfmaßnahmen (z.B. telefonische Kontaktaufnahme mit dem Absender) nicht ausreichen.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

skreuschner — Fri, 09 Sep 2022 07:58:43 GMT

eben, bei strato.de ziehe ich die Mail in den Browser und habe nach 5sec die Info...

1-2 Tage ist für mich = keine Lösung

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Fri, 09 Sep 2022 08:07:10 GMT

@skreuschner: Wobei ich mir zu 99% sicher bin, dass DATEV gerade im Bereich E-Mails mehr Tamtam macht als strato.de und es daher länger dauert, weil DATEV auf mehr Erfahrung, eine größere Datenbasis und Co. zurückgreifen kann und es DATEV bis heute dann nicht ermöglicht, so wie strato.de zu arbeiten, sodass man nicht manuell tätig werden muss.

Also auch wenn strato.de Go sagt, kann es sein, dass DATEV sagt: ich weiß nicht so Recht, Vorsicht walten lassen.

Vertrauen. Mehr ist es am Ende nicht.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

siro — Fri, 09 Sep 2022 08:20:16 GMT

@skreuschner schrieb:
eben, bei strato.de ziehe ich die Mail in den Browser und habe nach 5sec die Info...
1-2 Tage ist für mich = keine Lösung

Wenn der Schädling/Spam bekannt ist kommt SOFORT von Datev die Ablehnung!

Die längere Bearbeitungszeit kommt wenn die Mail tatsächlich individuell geprüft und bewertet wird, DAS macht Strato mit Sicherheit NICHT.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Nutzer_8888 — Fri, 09 Sep 2022 08:55:55 GMT

Kleines Zwischenfazit:

E-Mails sind offensichtlich Fluch und Segen. Die Sicherheit erfordert neben der Technik immer auch den vorsichtigen Nutzer und dennoch gibt es keine 100%.

Datev hat nun etwas gehärt - ich folgere, dass DATEV die eigenen Mails zumindest ab jetzt mit SPF Record, DKIM-Signatur und DMARC Record versendet, so dass Mailserver diese Sicherheitsfeatures auswerten können (was davon vorher auch schon bestand und was gehärtet wurde - ist unklar).

Ferner würde ich unterstellen, dass beim Eingang von Datev-Servern solche Features geprüft werden, wobei die Frage besteht, welche davon zwingend erforderlich sind?!

Die optionale Implementation von DKIM und DMARC bei Nutzung der Datev-Mail-Servern (E-Mails senden) im Falle umgeleiteter EMail-Domains (DatevNet, Exchange Modul...) scheint aktuell nicht gegeben zu sein.

Achtung: Der Domain-Provider muss die entsprechenden DNS-Einträge für die Nutzung der vorgenannten Sicherheits-Funktionen letztlich auch unterstützen, so dass diese Sicherheitsfeatures optional sein sollten/müssten...

Es könnte aber bald passieren, dass ohne DKIM viele Server dankend ablehnen und die Mails nicht mehr ankommen - die aktuelle Diskussion zeigt diese eigentliche Notwendigkeit ja auch auf.

Ansonsten ist Spam ja tägliches Geschäft und auch die hier "geadelte" Spam-Mail eine von Vielen, dennoch wichtig darauf hinzuweisen....

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

peter — Fri, 09 Sep 2022 08:59:30 GMT

Hallo @siro

Wenn der Schädling/Spam bekannt ist kommt SOFORT von Datev die Ablehnung!

gut zu wissen - danke.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

vogtsburger — Fri, 09 Sep 2022 10:10:50 GMT

... nochmal zum Ursprungs-Beitrag :

was ist denn jetzt der aktuelle Stand dieser konkreten Phishing-Attacke mit angeblichen E-Mails von Datev ?

(ich habe ehrlich gesagt nicht den Nerv, den kompletten Thread zu verfolgen)

ist der Urheber bekannt ?
welche Gefahr droht (Ransomware, Identitätsdiebstahl, Zugangsdaten usw. ) ?
Handlungsempfehlungen speziell bei Erhalt einer solchen Mail ?
... ?

... es findet sich ja leider immer mal wieder jemand in der Kanzlei, der aus Dusseligkeit oder wegen Stress oder aus sonstigen Gründen auf sowas klickt

P.S.

der Warnhinweis hier in der Community ist ein guter Ansatz, aber leider nicht ausreichend und nicht "niederschwellig", also nicht allgemeinverständlich genug

Die Malware-Routiniers bräuchten die Warnung nicht und die Malware-Ahnungslosen können nicht viel mit dieser Warnung anfangen

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Thomas_Müller — Fri, 09 Sep 2022 11:29:25 GMT

@vogtsburger schrieb: was ist denn jetzt der aktuelle Stand dieser konkreten Phishing-Attacke mit angeblichen E-Mails von Datev ?

Hallo @vogtsburger , hallo Community

der Stand ist der, dass wir ab heute die Warnung zur potentiellen Gefahr durch Phishing-Attacken in die Bestätigungsmail für Kunden, die Belege nach DUo hochladen, ergänzt haben. Ähnlich wie der aktuelle Banner hier in der Community.

@vogtsburger schrieb:
ist der Urheber bekannt ?
welche Gefahr droht (Ransomware, Identitätsdiebstahl, Zugangsdaten usw. ) ?
Handlungsempfehlungen speziell bei Erhalt einer solchen Mail ?
... ?

Die Urheber sind bei solchen Phishing-Attacken kaum zu ermitteln. Wir kennen die Urheber leider nicht.
Alle aufgeführten Daten sind denkbar. Nicht immer direkt und unmittelbar. Die Motivation solcher Phishing-Angriffe sind sehr vielfältig. Manchmal werden diese auch nur als Testballon gestartet, damit man dann weiß wie auf solche Situationen reagiert wird.
Wir veröffentlichen dazu nächste Woche Tipps zum Schutz vor Phishing-Angriffen. Grundsätzlich ist ein gesundes Misstrauen ein guter Berater. Aber bitte kein paranoides Verhalten 😉

@vogtsburger schrieb: ... es findet sich ja leider immer mal wieder jemand in der Kanzlei, der aus Dusseligkeit oder wegen Stress oder aus sonstigen Gründen auf sowas klickt

Dringende Empfehlung: Bitte die Mitarbeitenden nicht als dusselig hinstellen, wenn Fehler gemacht werden. Es ist zielführender zu hinterfragen warum es zu diesem Verhalten kam und was getan werden kann, damit dies nicht mehr passiert. Das kriminelle Geschäft in dem Phishing zum Einsatz kommt ist mittlerweile so professionell, das auch gezielt auf die Psychologie des Menschen gesetzt wird. Unser Gehirn spielt uns manchmal Streiche. Gerade deshalb, weil es so gut wie möglich Bekanntes automatisieren möchte. Das spart Energie und hier setzen die Angreifer an.

Wir alle kennen den Moment im Leben, an dem wir uns fragen: "Warum hab ich das denn jetzt gemacht?

Sprecht mit den Menschen in Euren Kanzleien und fragt sie auch was sie brauchen, damit sie sich in der Sache sicherer fühlen und Fehler vermieden werden können!

P.S.
der Warnhinweis hier in der Community ist ein guter Ansatz, aber leider nicht ausreichend und nicht "niederschwellig", also nicht allgemeinverständlich genug

Die Malware-Routiniers bräuchten die Warnung nicht und die Malware-Ahnungslosen können nicht viel mit dieser Warnung anfangen

Danke für den wichtigen Hinweis! Sehen wir mittlerweile auch so. Wir werden nächste Woche die Kommunikation dazu anpassen und verbessern. Gerade für die Unerfahrenen, die neu Im Bereich der IT sind.

VG aus Nürnberg,

Thomas Müller

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Fri, 09 Sep 2022 11:52:02 GMT

@Thomas_Müller schrieb:
Gerade deshalb, weil es so gut wie möglich Bekanntes automatisieren möchte. Das spart Energie und hier setzen die Angreifer an.

Sorry aber gerade da stößt man mit DATEV ja schnell an Grenzen 😶. Bei DATEV kann man selten automatisieren und wenn, dann gerade "falsch", weil bei DATEV oft irgendwelche Meldungen aufploppen, die man dann wissentlich schon einfach so bestätigt, weil sie nur nerven anstatt tatsächlich helfen. Da muss DATEV aus meiner Sicht auch noch besser werden.

Und weil das Gehirn Bekanntes automatisieren möchte, sehen die Cloud Anwendungen alle ein bisschen anders im CI/CD aus, damit wir ja "wach" bleiben?

@Thomas_Müller: Und zum Thema Phishing: Heute eine E-Mail von Skribble erhalten. Absender ist no-reply@mail.skribble.com, Empfänger ein Mitarbeiter aus der Kanzlei. Kein DATEV Branding; alles von Skribble.

Andrea Regel is waiting for your signature on the document below. Don't forget to sign it.

Woher soll ich wissen, wer das ist? Arbeitet sie bei DATEV? Musste ich erstmal bei LinkedIn schauen: Arbeitet bei DATEV. Ist jeder Mitarbeiter bei LinkedIn, XING, etc.? Nicht zu 100% mit ja zu beantworten.

In der E-Mail nur ein Button view document. Wie es Hacker mit Ransomware auch mit Office Dokumenten machen. Der Dateiname, den man signieren soll: für mich völlig kryptisch. Was ist Skribble? Unerfahrene werden sich eher an FP-Sign als Signaturpartner in DATEV DMS erinnern. DATEV arbeitet selbst dran vorbei, weil es für DATEV selbst besser ist. Muss man auch erstmal wissen.

Der Empfänger hatte es auch hier richtig gemacht: Du Daniel, das ist ein bisschen komisch. Ich leite Dir da mal was weiter.

Da darf DATEV gerne selbst besser werden 😶.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Thomas_Müller — Fri, 09 Sep 2022 12:02:18 GMT

@metalposaunist schrieb: Da darf DATEV gerne selbst besser werden

.

...wir können immer besser werden. Ist uns bewusst, danke trotzdem für Deinen Input 🤝

VG aus Nürnberg,

Thomas Müller

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

siro — Fri, 09 Sep 2022 12:26:30 GMT

@metalposaunist schrieb:

@Thomas_Müller: Und zum Thema Phishing: Heute eine E-Mail von Skribble erhalten. Absender ist no-reply@mail.skribble.com, Empfänger ein Mitarbeiter aus der Kanzlei. Kein DATEV Branding; alles von Skribble.

Andrea Regel is waiting for your signature on the document below. Don't forget to sign it.
Woher soll ich wissen, wer das ist? Arbeitet sie bei DATEV? Musste ich erstmal bei LinkedIn schauen: Arbeitet bei DATEV. Ist jeder Mitarbeiter bei LinkedIn, XING, etc.? Nicht zu 100% mit ja zu beantworten.

In der E-Mail nur ein Button view document. Wie es Hacker mit Ransomware auch mit Office Dokumenten machen. Der Dateiname, den man signieren soll: für mich völlig kryptisch. Was ist Skribble? Unerfahrene werden sich eher an FP-Sign als Signaturpartner in DATEV DMS erinnern. DATEV arbeitet selbst dran vorbei, weil es für DATEV selbst besser ist. Muss man auch erstmal wissen.

Der Empfänger hatte es auch hier richtig gemacht: Du Daniel, das ist ein bisschen komisch. Ich leite Dir da mal was weiter.

Da muß ich die Lebkuchen, äh die Nürnberger in Schutz nehmen:

Es gibt DREI Dokumente dazu in "Datev Partner" sowie eine pdf wo dieses Vorgehen so beschrieben ist!

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Fri, 09 Sep 2022 12:28:22 GMT

@siro schrieb:
Es gibt DREI Dokumente dazu in "Datev Partner" sowie eine pdf wo dieses Vorgehen so beschrieben ist!

Wo? Wir sind Kanzlei, kein DATEV (Solution) Partner.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

siro — Fri, 09 Sep 2022 12:30:39 GMT

@metalposaunist

😁Ihr seid Partner !

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Fri, 09 Sep 2022 12:37:54 GMT

Das ja. Zählt das zu Partner? Weiß ja nicht, wie der Begriff sich bei DATEV darstellt. Und wo kann man's jetzt nachlesen? 😂 Bei Berater für Berater bin ich organisatorisch raus. Die Mitarbeiterin hat nur diese E-Mail von Skribble bekommen. Da steht auch kein Hinweis drin. Weil dann müsste man sich ja an die drei PDFs oder ähnlich erinnern, dass da mal was war.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

vogtsburger — Fri, 09 Sep 2022 13:36:53 GMT

@Thomas_Müller schrieb:
[...] ...wir können immer besser werden. Ist uns bewusst, [...]

... ich habe den Eindruck, dass es immer aufwärts geht ... 😎

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Nutzer_8888 — Fri, 09 Sep 2022 13:45:22 GMT

Kommt drauf an, in welche Richtung man geht 😊....

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Thomas_Müller — Mon, 12 Sep 2022 10:01:58 GMT

Hallo Community,

zu der letzte Woche hier kommunizierten Phishing-Attacke gibt es aktuell keine akuten Meldungen mehr. Das heißt natürlich nicht, das wir uns bei diesem Thema, ganz nach dem Motto "Es ist ja nun vorbei", zurücklehnen können. Sicher nicht!

Wir werden heute in der DATEV-Community und auch auf der Webseite datev.de den Banner wieder entfernen. Auf datev.de haben wir heute einen neuen Artikel online gestellt. Mit diesem Artikel möchten wir auf der einen Seite zum Thema Phishing sensibilisieren und auf der anderen Seite geben wir allen interessierten Lesern 6 wichtige Optionen mit, wie man sich grundlegend gegen Phishing-Attacken schützen kann.

Kennen Sie die Datev AG? – DATEV magazin (datev-magazin.de)

Wenn Euch mehr solche Artikel interessieren, gebt mir gerne Rückmeldung dazu. Ich kann dann mit den Kolleginnen und Kollegen bei DATEV weitere Artikel aus dem Bereich Security und Datenschutz veröffentlichen. Intern hatten wir zum Beispiel gerade zum Thema Job-Scamming sensibilisiert und aufgeklärt.

Viele Grüße hier aus Nürnberg,

Thomas Müller

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Neu_hier — Wed, 14 Sep 2022 06:49:56 GMT

Was ich etwas komisch finde, ist der Hinweis (?) der DATEV (?) hierzu in den (korrekten?) Mails.

Ich bekommen (von DATEV?) eine Mail mit Absender "noreply@uploadmail.datev.de" die davor warnt, dass eine Phishing-Mail mit dem (selben) Absender "noreply@uploadmail.datev.de" kommen könnte.

In der gleichen (korrekten?) Mail solle man doch "hier" klicken, um weitere Infos zu erhalten.

Meiner Meinung nach hat da wer bei DATEV nicht wirklich gut nachgedacht, denn ich werde mich davor hüten bei einer Mail, die die gleiche Absenderadresse hat wie die vermeintliche Phishing-Mail, auf irgendeinen Link zu klicken!!!

Ich hätte hier nur einen textlichen Hinweis auf weitere Infos unter DATEV.de angebracht und die Merkmale wie eine gefälschte Mail zu erkennen ist, aber bestimmt keinen Link "klicken Sie hier", denn genau das ist ja der Trick der Phishing-Betrüger.......

Nachtrag: Verzeihung bitte DATEV, aber das ist meiner Meinung nach ein nicht sehr geschicktes Vorgehen zur Sensibilisierung der User.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Oliver_Hetz — Wed, 14 Sep 2022 13:44:18 GMT

Das Problem bei gefälschten Absenderadressen in Emails ist, dass man die genau aus dem Grund so wählt, dass sie nicht auf den ersten Blick auffallen. Im Prinzip kann man dort alles eintragen, was man will.

Beim eingebetteten Link im Warnbanner der echten DATEV Rückantwortmails ist es dann wieder die Herausforderung, wie man erkennen kann, ob der Anwender oder die Anwenderin auf eine DATEV eigene oder falsche, bösartige Seite geführt werden soll. Am leichtesten ist das mit dem sogenannten Mouse Over herauszufinden, mit dem man wenige Sekunden mit dem Mauszeiger über dem Link verharrt (OHNE zu klicken) und sich dann die angezeigte Zieladresse genau anschaut, die sich hinter dem Link verbirgt.

Grundsätzlich ist die Email leider kein sicheres Kommunikationsmittel und kann nur bis zu einem gewissen Grad mit Hilfe von Zusätzen abgesichert werden - jedoch nie zu 100 Prozent.

Ein guter Anhaltspunkt ist noch, auf die digitale Signatur der von DATEV erhaltenen Email zu schauen (damit meine ich nicht den Text am Ende der Mail!). Diese kann nicht gefälscht werden und wird in den Standard Mailprogrammen (installierte Mailclients, keine Webmailer) zuverlässig geprüft und verifiziert.

Ansonsten empfehle ich noch einmal den Blick in den Artikel des DATEV Magazins, den mein Kollege weiter oben schon hier gepostet hat:

Kennen Sie die Datev AG? – DATEV magazin (datev-magazin.de)

Mit besten Grüßen

Oliver Hetz

DATEV eG

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Wed, 14 Sep 2022 13:50:09 GMT

@Oliver_Hetz schrieb:
Am leichtesten ist das mit dem sogenannten Mouse Over herauszufinden, mit dem man wenige Sekunden mit dem Mauszeiger über dem Link verharrt (OHNE zu klicken) und sich dann die angezeigte Zieladresse genau anschaut, die sich hinter dem Link verbirgt.

Klappt unter Apple macOS leider nicht oder wer kann's mir zeigen? 🤗 Und klappt auch bei Outlook im Web unter Safari (afaik) nicht.

@Oliver_Hetz schrieb:
Diese kann nicht gefälscht werden und wird in den Standard Mailprogrammen (installierte Mailclients, keine Webmailer) zuverlässig geprüft und verifiziert.

Jupp und alles geht in die Cloud inkl. Outlook im Web 🤓. Ein lokales Outlook braucht man eigentlich nicht mehr. Unter macOS habe ich's deinstalliert. www.outlook.com im Browser - fertig 😍.

Aber ich arbeite auch in der Zukunft 🚀, wo DATEV noch nicht so ganz ist 😜.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Oliver_Hetz — Wed, 14 Sep 2022 14:02:42 GMT

@metalposaunist

Klappt unter Apple macOS leider nicht oder wer kann's mir zeigen?

I beg to differ, mein Rechner unter macOS 12.5.1 kann das mit Apple Mail problemlos (und zwar schon jahrelang!)

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Neu_hier — Wed, 14 Sep 2022 14:12:06 GMT

Sie haben viel geschrieben und erklärt, danke dafür.

Die Worte wirken aber doch etwas wie von oder für eine Seniorenhilfsgruppe (oder andere - ich möchte hier keinem Senior zu nahe treten) geschrieben, auf jeden Fall Personen die sich zum ersten mal mit diesen unerforschten Dingen (Internet und Mail und so) befasst.

War aber bestimmt ganz nett gemeint, gefragt hatte ich danach aber (so meine ich) in meinem Beitrag gar nicht.

Sie sind meines Erachtens überhaupt nicht auf meine Kritik eingegangen (Kommunikation), schade.

Manchmal will man das auch einfach nicht. Muss und werde ich akzeptieren.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Thomas_Müller — Wed, 14 Sep 2022 15:10:27 GMT

Servus @metalposaunist ,

das es bei Dir mit dem MAC nicht funktioniert ist interessant. Kannst Du ein bisschen was zu der MAC-Konfiguration verraten? Also Modell und OS-Version? Ich würde das mal gerne ausprobieren.

Unter OWA - Outlook im Web 😉 übernimmt den ToolTip beim Mouseover der Browser. Entweder in der Statusleiste oder unten Links als Tooltip-Bubble. Nicht schön, aber sollte in allen Browsern so angezeigt werden.

Melde Dich bitte noch mal falls das tatsächlich nicht angezeigt wird. Ich habe es gerade bei mir noch mal probiert. Ist hoffentlich nicht nur ein Vorzeigeeffekt 😎

@metalposaunist schrieb: Aber ich arbeite auch in der Zukunft

, wo DATEV noch nicht so ganz ist

Daher sind wir doch ganz froh, wenn Menschen wie Du uns immer wieder antreiben 😋

VG aus Nürnberg,

Thomas Müller

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

Thomas_Müller — Wed, 14 Sep 2022 15:14:43 GMT

Hallo @Neu_hier ,

@Neu_hier schrieb:
Meiner Meinung nach hat da wer bei DATEV nicht wirklich gut nachgedacht, denn ich werde mich davor hüten bei einer Mail, die die gleiche Absenderadresse hat wie die vermeintliche Phishing-Mail, auf irgendeinen Link zu klicken!!!

Ich hätte hier nur einen textlichen Hinweis auf weitere Infos unter DATEV.de angebracht und die Merkmale wie eine gefälschte Mail zu erkennen ist, aber bestimmt keinen Link "klicken Sie hier", denn genau das ist ja der Trick der Phishing-Betrüger......

Danke! Das ist eine absolut nachvollziehbare Kritik. Ich trage bei der Umsetzung auch mit Verantwortung. Ich nehme das gerne mit auf und lass diesen Input bei der nächsten Info mit einfließen. Die aktuelle wird jetzt in der kritisierten Variante sicher noch etwas verschickt. Ich spreche aber mal mit den Kollegen was wir da noch tun können.

Viele Grüße hier aus Nürnberg,

Thomas Müller

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Wed, 14 Sep 2022 15:25:08 GMT

@Thomas_Müller schrieb:
Kannst Du ein bisschen was zu der MAC-Konfiguration verraten? Also Modell und OS-Version? Ich würde das mal gerne ausprobieren.

Ich nutze kein Apple Mail. Apple MacBook Air (2017), macOS Monterey 12.5.1 + Safari und Outlook im Web. Daher hilft da keine Signatur, weil Safari die nicht "lesen" kann. Unter MS Edge kann man ein AddOn installieren, dass diese wieder prüft aber MS Edge unter Apple macOS? Hm, nö. Safari only.

Aber Phishing ist ja nun nicht neu. Waren die Angreifer diesmal halt ein bisschen cleverer und haben das Potential erkannt. Kann nur zum Besseres beitragen. Und da nichts zu 100% sicher ist, kann DATEV da noch so viel Energie und Härtungen implementieren - es wird immer einen Weg geben.

@Thomas_Müller schrieb:
Unter OWA - Outlook im Web 😉 übernimmt den ToolTip beim Mouseover der Browser.

Ich bin einfach zu ungeduldig. So viel Zeit habe ich nicht, den Mauszeiger da ruhen zu lassen 😂.

Durch Outlook geschützt 😎. Nice! Weckt gleich viel Vertrauen 💪 und alle Links werden durch MS geprüft? Zumindest haben auch normale Links folgenden Präfix: https://nam12.safelinks.protection.outlook.com/?url=

Tut Microsoft hier also das im Kleinen, was auch DATEVnet kann? 🤓

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Fri, 16 Sep 2022 06:08:57 GMT

Moin zusammen,

fällt mir gerade ein, weil ich's gestern eingerichtet habe: Gegen solche Attacken könnte auch ein pihole im Netzwerk helfen, mit dem man DNS Abfragen unterbinden kann, weil bei mir 1,8 Mio. Adressen auf der Blacklist stehen, die sich dynamisch aktualisieren. Und ich denke, dass das noch wenige sind. Die Liste lässt sich beliebig erweitern - auch manuell kann man damit bestimmte Adressen unterbinden.

Im Schnitt werden so ca. 35% aller DNS Anfragen meiner Geräte gleich erst gar nicht bis ins Internet weitergeleitet, sondern vorher einfach geblockt. Läuft sehr, sehr zuverlässig. Wenn nicht, das Raspberry einmal stromlos machen und nach 5 Sekunden geht's weiter. Kommt vielleicht 1x im Jahr vor.

@Thomas_Müller & @chrisocki: Kennt man die URL, die sich hinter dem Button versteckt? Dann würde ich die einfach mal durch die Datenbank jagen 😎.

Phishing-Attacke mit gefälschter DATEV E-Mail Adresse

metalposaunist — Thu, 22 Sep 2022 10:25:02 GMT