Ist die genannte Beraternummer sinnvoll aus Eurer Mitgliedschaft oder nur eine Zahlenkolonne?

Ich habe unsere Daten mal anonymisiert.

Received: from exchange.x.pro (10.0.13.99) by exchange.x.pro

(10.0.13.99) with Microsoft SMTP Server (version=TLS1_2,

cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.2375.28 via Mailbox

Transport; Wed, 4 Jan 2023 14:19:38 +0100

Received: from exchange.x.pro (10.0.13.99) by exchange.x.pro

(10.0.13.99) with Microsoft SMTP Server (version=TLS1_2,

cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.2375.28; Wed, 4 Jan

2023 14:19:38 +0100

Received: from smtp.x.de (10.0.255.100) by exchange.x.pro

(10.0.13.99) with Microsoft SMTP Server (version=TLS1_2,

cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.2375.28 via Frontend

Transport; Wed, 4 Jan 2023 14:19:38 +0100

Received: from smtp.x.de (localhost.localdomain [127.0.0.1])

                by smtp.x.de (Proxmox) with ESMTP id 8E69F80DFA

                for x.x@x.pro; Wed,  4 Jan 2023 14:19:38 +0100 (CET)

Received-SPF: softfail (datev.de: Sender is not authorized by default to use 'service-aktuell@datev.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=smtp.x.de; identity=mailfrom; envelope-from=service-aktuell@datev.de; helo=hosting2.xentra.nl; client-ip=212.32.242.13

Received: from hosting2.xentra.nl (hosting2.xentra.nl [212.32.242.13])

                (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)

                key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256)

                (No client certificate requested)

                by smtp.x.de (Proxmox) with ESMTPS id 9AD6380D05

                for x.x@x.pro; Wed,  4 Jan 2023 14:19:37 +0100 (CET)

Received: from 127.0.0.1 (localhost [127.0.0.1])

                by hosting2.xentra.nl (8.15.2/8.15.2/Debian-10) with SMTP id 304DJTv9026101

                for x.x@x.pro; Wed, 4 Jan 2023 14:19:30 +0100

Date: Wed, 4 Jan 2023 14:19:29 +0100

Message-ID: 202301041319.304DJTv9026101@hosting2.xentra.nl

Content-Type: multipart/alternative;

                boundary="===============0955954477524151802=="

MIME-Version: 1.0

Subject: Unbezahlte DATEV-Rechnung

From: DATEV-Serviceinformationen service-aktuell@datev.de

To: x.x@x.pro

X-SPAM-LEVEL: Spam detection results:  2

                BAYES_00                 -1.9 Bayes spam probability is 0 to 1%

                HTML_MESSAGE            0.001 HTML included in message

                KAM_DMARC_QUARANTINE      1.5 DKIM has Failed or SPF has failed on the message and the domain has a DMARC quarantine policy

                KAM_DMARC_STATUS         0.01 Test Rule for DKIM or SPF Failure with Strict Alignment

                MIME_HTML_MOSTLY          0.1 Multipart message mostly text/html MIME

                MPART_ALT_DIFF           0.79 HTML and text parts are different

                SPF_HELO_NONE           0.001 SPF: HELO does not publish an SPF Record

                SPF_SOFTFAIL            0.665 SPF: sender does not match SPF record (softfail)

                T_REMOTE_IMAGE           0.01 Message contains an external image

                URIBL_BLACK               1.7 Contains an URL listed in the URIBL blacklist [ghftyv.cf]

Return-Path: service-aktuell@datev.de

X-MS-Exchange-Organization-Network-Message-Id: 0ef64914-bdb4-4b64-c360-08daee5654f7

X-MS-Exchange-Organization-AuthSource: exchange.x.pro

X-MS-Exchange-Organization-AuthAs: Anonymous

X-MS-Exchange-Transport-EndToEndLatency: 00:00:00.2160215

X-MS-Exchange-Processed-By-BccFoldering: 15.01.2375.028

Nicht anonymisierte Inhalte in den Verlinkungen und Links durch @Dirk_Jendritzki entfernt.

---

@andrereissig  schrieb:

Ist die genannte Beraternummer sinnvoll aus Eurer Mitgliedschaft oder nur eine Zahlenkolonne?

---

Ist leer:

Noch fieser: den Herrn Löhr scheint es zu geben im DATEV-Universum

https://www.xing.com/profile/Andreas_Loehr12

---

@nadimb  schrieb:
Ist leer:

---

Okay, immerhin. Das wäre jetzt auch echt gruselig gewesen, wenn die gepasst hätte.

Sieht nach einem gut gemachten "Joe Job" aus.

... aktuell sind bei mir auch ähnliche E-Mails mit Benachrichtigungen über angebliche Zahlungen (inkl. beigefügtem Beleg) eingetroffen, die sehr raffiniert gemacht sind

... mit einem kleinen, angeblichen Vorschaubildchen des PDF-Belegs im E-Mail-Text, aber 'hinter' dem Bildchen befindet sich ein Link mit einer suspekten URL

Nachtrag:

.. soeben ist schon wieder eine neue E-Mail nach diesem 'Muster' eingetroffen

Hallo zusammen,

bei dieser Mail handelt es sich leider um eine Phishing-Attacke.

Diese Mail kommt nicht von DATEV. Solche Mails, auch die Art des Betreff, werden nicht von DATEV versendet.

Ich habe dazu mehr Infos für Euch in diesem Beitrag bereitgestellt: Phishing-Attacke-im-Januar-2023-mit-DATEV-E-Mail-Adresse 

Viele Grüße hier aus Nürnberg,

Thomas Müller

@Thomas_Müller 

Ich würde hier ja einen Hardfail befürworten

@nadimb schrubte:

Received-SPF: softfail (datev.de: Sender is not authorized by default to use 'service-aktuell@datev.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=smtp.x.de;

Guten Tag,

werden die Mails an Steuerbüros verschickt oder an mögliche Mandanten?

Wie sollen die Betrüger das unterscheiden können? Diese Mails werden wahrscheinlich auch an Empfänger gehen, die DATEV für'n 80er Hit von Trio halten.

Genau wie bei Kontophishing.

die DATEV für'n 80er Hit von Trio halten.

Ist der an mir vorbei gegangen. 😁

"DA... DA... DATEV! Ich buch' Dich nicht, Du buchst mich nicht..."

Hielt sich Wochen in den Steuerberatercharts 1982!

Zusammen mit "Deine Steuern im Sand - die die SteuFa nicht fand...hat der Staat nicht bekommen"

Also ich hab die Mail nicht bekommen. Aber ich hab auch so gut wie nie Neue Deutsche Welle gehört ich schwör. 😂

Da waren immer die größten Knaller drauf! Da fliegen einem die Spiralen aus der Mütze!

Mit dem Tape im offenen Cabrio an der Ampel... da biste Kööönich!

Die Fake-Mail wurde offenbar an einen beliebigen Verteiler geschickt, der nichts mit DATEV zu tun hat. Natürlich sind damit auch DATEV-Kunden betroffen.

@DATEV

DATEV - Wir lassen keine Peinlichkeit aus!

Wie kann man in so einer Situation auch noch eigene Rechnungsberichtigungen versenden?

Gestern Abend Eingang der Mail, erster Gedanke war "jetzt habe ich auch so einen Spam bekommen", heute dann der Löschversuch und dann wird mein mIdentity abgefragt weil DATEV es noch nicht einmal hinbekommt vernünftige pdf Dateien zu erstellen.

Aus dem Lohn nichts gelernt?

---

@siro  schrieb:

Ich würde hier ja einen Hardfail befürworten

 

@nadimb schrubte:

Received-SPF: softfail (datev.de: Sender is not authorized by default to use 'service-aktuell@datev.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=smtp.x.de;

---

Der Empfänger kann ja letztlich immer noch selber entscheiden, ob er auf die "Empfehlung" hört oder ein Softfail wie ein Fail behandelt.

Grundsätzlich wäre ich aber auch beim "... -all"

---

@einmalnoch  schrieb:

 

Wie kann man in so einer Situation auch noch eigene Rechnungsberichtigungen versenden?

 

Gestern Abend Eingang der Mail, erster Gedanke war "jetzt habe ich auch so einen Spam bekommen", heute dann der Löschversuch und dann wird mein mIdentity abgefragt weil DATEV es noch nicht einmal hinbekommt vernünftige pdf Dateien zu erstellen.

Den Gedanken hatte ich auch...

Ich weiß nicht. Soll DATEV jetzt warten, bis wirklich jeder aus dem Jahreswechsel-Urlaub zurückgekehrt ist, Kenntnis von der Phishing-Attacke erlangt hat und dann noch sein Mail-Postfach aufgeräumt hat. Und erst dann sollen wieder Rechnungen versendet werden? Weil dann kommen die Mails ja ganz sicher von DATEV...

Unabhängig vom Zeitpunkt gilt doch immer, dass E-Mail-Eingänge sensibel zu prüfen sind.

Damit es keine zwei Themen gibt, schließe ich und hier geht es weiter: 

Phishing-Attacke im Januar 2023 mit DATEV E-Mail A... - DATEV-Community - 330452