Heute von einem Mandanten zugeschickt bekommen mit Bitte um Prüfung:
Sieht alles täuschend echt aus. Header, Absender, PiPaPo.
Nur die URL sieht **bleep** merkwürdig aus.
Ich gucke mir die Mail da jetzt mal im Original an.
Vielleicht sollten aber alle nochmal wachsamer sein als ohnehin schon.
Ist die genannte Beraternummer sinnvoll aus Eurer Mitgliedschaft oder nur eine Zahlenkolonne?
05.01.2023 11:37 zuletzt bearbeitet am 09.01.2023 14:33 von Dirk_Jendritzki
Ich habe unsere Daten mal anonymisiert.
Received: from exchange.x.pro (10.0.13.99) by exchange.x.pro
(10.0.13.99) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.2375.28 via Mailbox
Transport; Wed, 4 Jan 2023 14:19:38 +0100
Received: from exchange.x.pro (10.0.13.99) by exchange.x.pro
(10.0.13.99) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.2375.28; Wed, 4 Jan
2023 14:19:38 +0100
Received: from smtp.x.de (10.0.255.100) by exchange.x.pro
(10.0.13.99) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.2375.28 via Frontend
Transport; Wed, 4 Jan 2023 14:19:38 +0100
Received: from smtp.x.de (localhost.localdomain [127.0.0.1])
by smtp.x.de (Proxmox) with ESMTP id 8E69F80DFA
for x.x@x.pro; Wed, 4 Jan 2023 14:19:38 +0100 (CET)
Received-SPF: softfail (datev.de: Sender is not authorized by default to use 'service-aktuell@datev.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=smtp.x.de; identity=mailfrom; envelope-from=service-aktuell@datev.de; helo=hosting2.xentra.nl; client-ip=212.32.242.13
Received: from hosting2.xentra.nl (hosting2.xentra.nl [212.32.242.13])
(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256)
(No client certificate requested)
by smtp.x.de (Proxmox) with ESMTPS id 9AD6380D05
for x.x@x.pro; Wed, 4 Jan 2023 14:19:37 +0100 (CET)
Received: from 127.0.0.1 (localhost [127.0.0.1])
by hosting2.xentra.nl (8.15.2/8.15.2/Debian-10) with SMTP id 304DJTv9026101
for x.x@x.pro; Wed, 4 Jan 2023 14:19:30 +0100
Date: Wed, 4 Jan 2023 14:19:29 +0100
Message-ID: 202301041319.304DJTv9026101@hosting2.xentra.nl
Content-Type: multipart/alternative;
boundary="===============0955954477524151802=="
MIME-Version: 1.0
Subject: Unbezahlte DATEV-Rechnung
From: DATEV-Serviceinformationen service-aktuell@datev.de
To: x.x@x.pro
X-SPAM-LEVEL: Spam detection results: 2
BAYES_00 -1.9 Bayes spam probability is 0 to 1%
HTML_MESSAGE 0.001 HTML included in message
KAM_DMARC_QUARANTINE 1.5 DKIM has Failed or SPF has failed on the message and the domain has a DMARC quarantine policy
KAM_DMARC_STATUS 0.01 Test Rule for DKIM or SPF Failure with Strict Alignment
MIME_HTML_MOSTLY 0.1 Multipart message mostly text/html MIME
MPART_ALT_DIFF 0.79 HTML and text parts are different
SPF_HELO_NONE 0.001 SPF: HELO does not publish an SPF Record
SPF_SOFTFAIL 0.665 SPF: sender does not match SPF record (softfail)
T_REMOTE_IMAGE 0.01 Message contains an external image
URIBL_BLACK 1.7 Contains an URL listed in the URIBL blacklist [ghftyv.cf]
Return-Path: service-aktuell@datev.de
X-MS-Exchange-Organization-Network-Message-Id: 0ef64914-bdb4-4b64-c360-08daee5654f7
X-MS-Exchange-Organization-AuthSource: exchange.x.pro
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Transport-EndToEndLatency: 00:00:00.2160215
X-MS-Exchange-Processed-By-BccFoldering: 15.01.2375.028
Nicht anonymisierte Inhalte in den Verlinkungen und Links durch @Dirk_Jendritzki entfernt.
@andrereissig schrieb:Ist die genannte Beraternummer sinnvoll aus Eurer Mitgliedschaft oder nur eine Zahlenkolonne?
Ist leer:
Noch fieser: den Herrn Löhr scheint es zu geben im DATEV-Universum
https://www.xing.com/profile/Andreas_Loehr12
@nadimb schrieb:
Ist leer:
Okay, immerhin. Das wäre jetzt auch echt gruselig gewesen, wenn die gepasst hätte.
Sieht nach einem gut gemachten "Joe Job" aus.
... aktuell sind bei mir auch ähnliche E-Mails mit Benachrichtigungen über angebliche Zahlungen (inkl. beigefügtem Beleg) eingetroffen, die sehr raffiniert gemacht sind
... mit einem kleinen, angeblichen Vorschaubildchen des PDF-Belegs im E-Mail-Text, aber 'hinter' dem Bildchen befindet sich ein Link mit einer suspekten URL
Nachtrag:
.. soeben ist schon wieder eine neue E-Mail nach diesem 'Muster' eingetroffen
Hallo zusammen,
bei dieser Mail handelt es sich leider um eine Phishing-Attacke.
Diese Mail kommt nicht von DATEV. Solche Mails, auch die Art des Betreff, werden nicht von DATEV versendet.
Ich habe dazu mehr Infos für Euch in diesem Beitrag bereitgestellt: Phishing-Attacke-im-Januar-2023-mit-DATEV-E-Mail-Adresse
Viele Grüße hier aus Nürnberg,
Thomas Müller
Ich würde hier ja einen Hardfail befürworten
@nadimb schrubte:
Received-SPF: softfail (datev.de: Sender is not authorized by default to use 'service-aktuell@datev.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=smtp.x.de;
Guten Tag,
werden die Mails an Steuerbüros verschickt oder an mögliche Mandanten?
Wie sollen die Betrüger das unterscheiden können? Diese Mails werden wahrscheinlich auch an Empfänger gehen, die DATEV für'n 80er Hit von Trio halten.
Genau wie bei Kontophishing.
die DATEV für'n 80er Hit von Trio halten.
Ist der an mir vorbei gegangen. 😁
"DA... DA... DATEV! Ich buch' Dich nicht, Du buchst mich nicht..."
Hielt sich Wochen in den Steuerberatercharts 1982!
Zusammen mit "Deine Steuern im Sand - die die SteuFa nicht fand...hat der Staat nicht bekommen"
Also ich hab die Mail nicht bekommen. Aber ich hab auch so gut wie nie Neue Deutsche Welle gehört ich schwör. 😂
Da waren immer die größten Knaller drauf! Da fliegen einem die Spiralen aus der Mütze!
Mit dem Tape im offenen Cabrio an der Ampel... da biste Kööönich!
Die Fake-Mail wurde offenbar an einen beliebigen Verteiler geschickt, der nichts mit DATEV zu tun hat. Natürlich sind damit auch DATEV-Kunden betroffen.
@DATEV
DATEV - Wir lassen keine Peinlichkeit aus!
Wie kann man in so einer Situation auch noch eigene Rechnungsberichtigungen versenden?
Gestern Abend Eingang der Mail, erster Gedanke war "jetzt habe ich auch so einen Spam bekommen", heute dann der Löschversuch und dann wird mein mIdentity abgefragt weil DATEV es noch nicht einmal hinbekommt vernünftige pdf Dateien zu erstellen.
Aus dem Lohn nichts gelernt?
@siro schrieb:Ich würde hier ja einen Hardfail befürworten
@nadimb schrubte:
Received-SPF: softfail (datev.de: Sender is not authorized by default to use 'service-aktuell@datev.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=smtp.x.de;
Der Empfänger kann ja letztlich immer noch selber entscheiden, ob er auf die "Empfehlung" hört oder ein Softfail wie ein Fail behandelt.
Grundsätzlich wäre ich aber auch beim "... -all"
@einmalnoch schrieb:
Wie kann man in so einer Situation auch noch eigene Rechnungsberichtigungen versenden?
Gestern Abend Eingang der Mail, erster Gedanke war "jetzt habe ich auch so einen Spam bekommen", heute dann der Löschversuch und dann wird mein mIdentity abgefragt weil DATEV es noch nicht einmal hinbekommt vernünftige pdf Dateien zu erstellen.
Den Gedanken hatte ich auch...
Ich weiß nicht. Soll DATEV jetzt warten, bis wirklich jeder aus dem Jahreswechsel-Urlaub zurückgekehrt ist, Kenntnis von der Phishing-Attacke erlangt hat und dann noch sein Mail-Postfach aufgeräumt hat. Und erst dann sollen wieder Rechnungen versendet werden? Weil dann kommen die Mails ja ganz sicher von DATEV...
Unabhängig vom Zeitpunkt gilt doch immer, dass E-Mail-Eingänge sensibel zu prüfen sind.
Damit es keine zwei Themen gibt, schließe ich und hier geht es weiter:
Phishing-Attacke im Januar 2023 mit DATEV E-Mail A... - DATEV-Community - 330452