Thema "Phishing mit vermeintlicher DATEV-E-Mail" in Technisches zu Software

Phishing mit vermeintlicher DATEV-E-Mail

Thomas_Müller — Fri, 02 Feb 2024 15:04:29 GMT

Hallo Community,

Phishing ist leider ein fester Bestandteil des Arbeitsalltags geworden. Gemeinsam sind wir immer stärker und darum möchte ich hier wieder einmal die Gelegenheit nutzen, auf eine aktuelle Phishing Aktion hinzuweisen. Der Betreff der E-Mail ist aktuell "Rechnung für XYZ-Auftrag Nr 51474". Dieser Betreff kann aber auch variieren.

Die Angreifer versuchen, klassisch, die angeschriebenen Kontakte dazu bringen auf einen der Links zu klicken.

Gelockt wird mit dem Vorwand das nun die Dokumente mit einem Passwort gesichert wären. Das Passwort wird dann gleich mitgeliefert.

Wichtig wie immer in solchen Situationen: Auf keinen Fall auf einen der Links klicken!

Als Absendername wird DATEV angegeben. Die Mailadresse ist aber keine echte DATEV-Adresse. Es werden Adressen von X beliebigen Firmen verwendet.

Ich möchte an dieser Stelle deutlich darauf hinweisen, dass DATEV keine Passwörter versendet oder im Kontext von DATEV Unternehmen online verwendet. Es kommen ausschließlich die DATEV-Smart Card und der DATEV Smart Login zum Einsatz.

Ich würde mich sehr freuen wenn ihr in Eurem Arbeitsumfeld diese Nachricht zur Sensibilisierung teilen könntet.

Vielen Dank dafür im Voraus,

Thomas Müller - DATEV in Nürnberg

Phishing mit vermeintlicher DATEV-E-Mail

Gelöschter Nutzer — Fri, 02 Feb 2024 20:30:59 GMT

was passiert, wenn man auf so einen Link klickt?

voll gepatchtes system, nur benutzerrechte, hinter datevnet und trotzdem ein problem?

irgendwann setze ich mal eine sandbox auf und schicke den mist dahin... irgendwann.. die neugier.. 🙂

Phishing mit vermeintlicher DATEV-E-Mail

janm — Sat, 03 Feb 2024 07:01:30 GMT

Am Ende des Tages kann man mit Benutzerrechten zumindest alles das verschlüsseln, worauf der Benutzer Rechte hat.

So viel Arbeit ist das mit der Sandbox unter Windows nicht: Windows-Sandbox - Windows Security | Microsoft Learn

Phishing mit vermeintlicher DATEV-E-Mail

vogtsburger — Sat, 03 Feb 2024 08:15:02 GMT

... wow, ein guter Tipp ...

... wollte schon lange mal wieder 'im Sandkasten spielen'

... aber wie erkenne ich nach einem Neustart, ob oder dass ich im 'Sandkasten' bin ?

... und sollte man sicherheitshalber die Netzwerkverbindung blockieren ?

Nachtrag:

... ok ... gefunden ... ich muss "Windows-Sandbox" erstmal starten 😅

.. könnte man denn bedenkenlos alles in der "Windows-Sandbox" starten, was 'ein G'schmäckle' hat ?

... z.B. copy&paste und ausführen von suspekten Links ?

Phishing mit vermeintlicher DATEV-E-Mail

Gelöschter Nutzer — Sat, 03 Feb 2024 09:27:48 GMT

cooles feature.. kannte ich noch nicht :-).

wäre mir aber trotzdem zu heikel im firmennetz… aber eigentlich müsste ich es genau dort testen mit internet/netzwerk.

wenn der aus dem netz heruntergeladene code vor ausführung schon blockiert wird oder gar nicht erst heruntergeladen wird.. sollte ja eigentlich nichts passieren..

wenn das denn gelingt..

Phishing mit vermeintlicher DATEV-E-Mail

metalposaunist — Sat, 03 Feb 2024 09:56:01 GMT

Lieber @Thomas_Müller,

wohin führen denn die Links? Ist wirklich https://duo.datev.de hinterlegt oder welche URLs tauchen da auf?

Mittlerweile sind die Betrüger aber auf analoge Kommunikation umgestiegen und grasen das handelsregister.de strukturiert nach neuen Einträgen ab und schicken pauschal Post (!) raus, mit der Bitte um Zahlung. Selbst ich als digitaler Freak hätte da beinahe 900 EUR versenkt 😳. Weil ich glaubte, dass Deutschland wirklich so schlimm analog ist. Wer auch immer die 85ct Porto auf den Brief draufgelutscht hat ...

Das könnte das nächste große Ding werden. Digital war gestern. In Deutschland wird analog mit Papier "gefischt".

Phishing mit vermeintlicher DATEV-E-Mail

vogtsburger — Sat, 03 Feb 2024 17:07:23 GMT

... ich werde testen, ob sich die "Windows-Sandbox" nicht sogar als 'Königsweg' für das 'hemmungslose' private Surfen am Arbeitsplatz für mich und für die Mitarbeiter eignet.

Das Verbieten der privaten Internetnutzung lässt sich mE in der Kanzlei nicht wirklich durchsetzen und deren Überwachung mit technischen Mitteln wäre wohl nicht erlaubt.

... also warum es dann nicht gleich in einer 'Sandbox' ganz offiziell erlauben. Nach Schließen der "Sandbox" ist der Arbeitsplatz ja (angeblich) wieder so 'sauber' wie geleckt bzw. so 'sauber' wie vorher 😉

Phishing mit vermeintlicher DATEV-E-Mail

MikeWHerbs — Sat, 03 Feb 2024 15:20:39 GMT

High,

viel Freude bei diesem Vorhaben😎

Bitte über den Erfolg berichten.

Gruss Milke

Phishing mit vermeintlicher DATEV-E-Mail

vogtsburger — Sat, 03 Feb 2024 17:04:48 GMT

... neue Ideen teste ich normalerweise immer zuerst im Selbstversuch ...

... bekanntlich hatte ja auch Sigmund Freud(e) an Selbstversuchen ...

Ich gehe eben immer davon aus, dass etwas, das mir gefällt, auch Anderen gefallen könnte ...

... und dass etwas, das ich anwende und sogar kapiere, auch jeder Andere anwenden und kapieren kann

... keine Ahnung, ob die Datev-Mitarbeiter und Datev-Entwickler nach dem selben Prinzip vorgehen ...

Phishing mit vermeintlicher DATEV-E-Mail

Hauke_Hamann — Sat, 03 Feb 2024 17:21:05 GMT

Das mit den Briefen vom „…-Register“ funktioniert schon seit über 20 Jahren, lieber @metalposaunist .

Warum ein „Erfolgsmodell“ unnötig kompliziert machen mit so neumodischen Methoden?

Scheint sich ja immer noch zu rechnen.

Phishing mit vermeintlicher DATEV-E-Mail

vogtsburger — Sat, 03 Feb 2024 18:11:52 GMT

... die Zielgruppe sind in diesem Fall ausnahmsweise mal nicht die digital unerfahrenen 'Alten', sondern die analog unerfahrenen 'Jungunternehmer', die man 'auf dem falschen Fuß' erwischen will 😎

Phishing mit vermeintlicher DATEV-E-Mail

MikeWHerbs — Sat, 03 Feb 2024 18:40:08 GMT

High,

habe die Sandbox mal privat "Win 11 Insider" probiert, ist halt ne Sandbox fast ohne Mühe,

funzt, aber auf Arbeitsumgebung?

Gruss Mike

Phishing mit vermeintlicher DATEV-E-Mail

janm — Sun, 04 Feb 2024 12:18:50 GMT

@MikeWHerbs schrieb:
... aber auf Arbeitsumgebung?

Da sind ja auch schließlich flächendeckend Anti-Spam Appliances und Firewalllösungen implementiert, die das Sandboxing automatisiert dem Enduser abnehmen. 😉

Phishing mit vermeintlicher DATEV-E-Mail

vogtsburger — Sun, 04 Feb 2024 13:10:25 GMT

... ich finde es äußerst komfortabel und hilfreich, wenn man mit 1 oder 2 Klicks eine sichere und 'unkaputtbare' System-Umgebung zur Verfügung stellen kann, z.B. für interne Zwecke, aber auch für spontane Besucherwünsche a la "darf ich mal kurz in's Internet, um Mails zu checken, zu kommunizieren, zu traden oder downzuloaden".

... erinnere mich noch gut an eine Aktion vor über 10 Jahren. Eine Kanzlei-Mitarbeiterin ließ ihren wartenden Sohn noch für ca. 1/2 Stunde zum Surfen an einen Datev-Arbeitsplatz.

Er schaffte es tatsächlich, den Arbeitsplatz mit einem hässlichen Virus zu verseuchen.

Das war ihr, ihm und mir eine Lehre 😉

Phishing mit vermeintlicher DATEV-E-Mail

Seeker — Tue, 06 Feb 2024 11:12:37 GMT

Mittlerweile sind die Betrüger aber auf analoge Kommunikation umgestiegen und grasen das handelsregister.de strukturiert nach neuen Einträgen ab und schicken pauschal Post (!) raus, mit der Bitte um Zahlung.

Das ist eher eine perfekte Symbiose von digitaler und analoger Welt. Seit 2009 werden Einträge in das Handelsregister auch im Internet veröffentlich. Und -surprise - seit 2009 schicken Abzocker amtlich aussehende Schreiben mit Zahlungsaufforderungen für irgendwelche Eintragungen. Klappt immer noch, weil a) die Leute nicht richtig lesen und b) gerade von "Ämtern" eben Papier-Post normal war und ist. Wer lesen kann fällt allerdings nicht auf sowas rein.

Phishing mit vermeintlicher DATEV-E-Mail

metalposaunist — Tue, 06 Feb 2024 11:24:45 GMT

@Seeker schrieb:
Wer lesen kann fällt allerdings nicht auf sowas rein.

Weiß nicht 🤔? Ich hatte da so meine Probleme mit. Gebe ich offen zu. Und ja, man sollte auf ein DE IBAN Konto überweisen. Gut, bei der Bank stand was von UKS?! Aber mag ja sein, dass es so eine Bank gibt.

Schlimmer noch: Es war ein QR-Code abgebildet, mit dem man sein Geld in 60 Sekunden los geworden wäre. Wie soll Deutschland digitalisieren und solche Services anbieten aka es ins #Neuland schaffen, wenn es die Häcker zu erst tun und damit das #Vertrauen gleich 0️⃣ ist? Jetzt kann man Fake-Rechnungen am Bezahl-QR-Code unterscheiden? Himmel 😱.

Die § und einzelnen Positionen waren auch wortgleich. Gut, das Logo sah komisch aus aber beim echten Schreiben aus Siegburg sollte ich auch die Kohle nach Dortmund zur Zentrale der Justiz überweisen? 🤔 Und wir machen uns in LinkedIn lustig, dass wir doch alles immer 16x vorliegen haben und es keine Zentrale für Steuern gibt. Für Justiz dann schon? Das Schreiben kam angeblich aus Hamm. Kann ja sein, wenn Siegburg und Dortmund auch miteinander reden? Irgendwann verwenden die Betrüger dann noch Frankiermaschinen, damit auch das gleich ist und man den Fake nicht an der draufgelutschten Briefmarke entlarvt.

Beim Original stand "Vorschussrechnung". Beim Fake "Abrechnung". Habe ich dann ins Amtsdeutsche übersetzt: Vorschuss = Abschlagsrechnung und Abrechnung = finale Rechnung, weil man für die Eintragung ins HRB nur Teilbetrag 1 von 2 überweisen soll. Ist im Handwerk auch nicht unüblich.

I'm sorry aber das ist alles sehr gaga in diesem Land.

Phishing mit vermeintlicher DATEV-E-Mail

vogtsburger — Tue, 06 Feb 2024 11:24:31 GMT

... das kleine Wörtchen "Angebot" ist in dem laaangen unübersichtlichen Text solcher Machwerke natürlich nicht leicht erkennbar, auch nicht die laaange Laufzeit und die hohen Gebühren 😎

... und wer liest schon gerne laaange Prosa im Zeitalter der Messenger und der Chat-Abkürzungen ?

... und wer solche "unmoralischen Angebote" annimmt, ist bei diesem Ganoven herzlich willkommen 😎

Phishing mit vermeintlicher DATEV-E-Mail

janm — Tue, 06 Feb 2024 12:18:23 GMT

Ebenfalls ein interessanter Ansatz: Videokonferenz voller KI-Klone: Angestellter schickt Betrügern 24 Millionen Euro | heise online

Phishing mit vermeintlicher DATEV-E-Mail

Seeker — Tue, 06 Feb 2024 14:34:00 GMT

Irgendwann verwenden die Betrüger dann noch Frankiermaschinen, damit auch das gleich ist und man den Fake nicht an der draufgelutschten Briefmarke entlarvt.

Die Betrüger haben hier auch einen ganz unfairen Vorteil: Sie tun was immer sie können, und was technisch für sie umsetzbar ist. Und das ohne jahrzehntelanges Genehmigungsverfahren, ohne DSGVO, ohne Vorschriften.

p.s. danke für den Verbesserungsvorschlag mit der Frankiermaschine 👍

Phishing mit vermeintlicher DATEV-E-Mail

janm — Tue, 06 Feb 2024 18:22:52 GMT

BTW.: Hier gibt es bspw. von Hornetsecurity den "Security Awareness Service". Damit werden Phishing Attacken simuliert und entsprechend ausgewertet. Zusätzlich gibt es dann noch "Trainings" bzw. "Lerninhalte" zur Schulung, damit es bei der nächsten Simulation (noch) besser läuft. 🙂