@janm ,
meine geschäftlichen E-Mails werden per MS-Exchange verwaltet und anders archiviert.
Hier geht es nur um diverse private E-Mail-Konten (pop/imap), die auf meinen privaten stationären und mobilen Geräten eingerichtet sind.
Das ist/war nur ein allgemeiner Hinweis (für mögliche Mitleser) bevor hier später ein "Huppala" passiert und "niemand hat was gesagt".
... ein neues Beispiel ...
... "ein alter Hut" werden die 'jungen Wohlbehüteten' rufen
... ja, stimmt, diese Kategorie von Spammails gibt es immer wieder ...
... und eigentlich sollte heute niemand mehr darauf hereinfallen ...
... aber es gibt sicher genug Unerfahrene, die sich erschrecken und gleich mal nachsehen wollen, was denn da auf dem Kundenkonto des Mail-Providers passiert ist. Man hat doch schließlich eine Abbuchungserlaubnis eingerichtet😎
Perfide ist, dass als Absenderadresse eine eigene E-Mail-Adresse verwendet wird
Sich selbst findet man ja meist seriös 😎
Wenn das tatsächlich die eigene Domain ist, sollte SPF / DKIM / DMARC einmal gecheckt werden.
@janm , danke für den Tipp,
mich hatte nämlich irritiert, dass zuerst und ganz kurz eine andere, fremde E-Mail-Adresse 'aufgeblitzt' war, die dann in die eigene E-Mail-Adresse à la "webmaster@(meine_eigene_domain.de)" 'mutierte'
... keine Ahnung, ob dieser Effekt mit SPF / DKIM / DMARC zu tun hat
... SPF / DKIM / DMARC werde ich checken
Nachtrag:
... habe die genannten Einstellungen (SPF / DKIM / DMARC) gecheckt
... und ja, es war kein DMARC-Record für diese Domain vorhanden
Jetzt, nachdem ich einen DMARC-Record hinzugefügt habe, bin ich mal gespannt, ob sich aus den Sicherheits-Berichten, die ich per E-Mail erhalte, irgendwelche Erkenntnisse ziehen lassen und ob auch meine eigenen E-Mails immer ihr Ziel erreichen oder teilweise abgewiesen werden.
GMAIL hat ja z.B. seit einigen Monaten auch stärkere Sicherheitsprüfungen
Nochmals danke für diesen Tipp, @janm
@vogtsburger schrieb:
Jetzt, nachdem ich einen DMARC-Record hinzugefügt habe, bin ich mal gespannt, ob sich aus den Sicherheits-Berichten, die ich per E-Mail erhalte, irgendwelche Erkenntnisse ziehen lassen
Jede Wette, dass das nicht der Fall sein wird. Ohne einen entsprechenden Aggregator wie bspw. DMARC Advisor oder Mailhardener, wo das sinnvoll visualisiert und ausgewertet wird, wird das nichts werden.
... ich hatte gehofft, dass ich mit Hilfe des folgenden Online-Tools ein wenig schlauer aus den Berichten werde
https://us.dmarcian.com/xml-to-human-converter
... immerhin spricht das Tool von 'human' 😎
Nachtrag:
... bisher kamen erst 3 Sicherheits-(DMARC-)Berichte (von web.de, google.com und datev.de)
Die Visualisierung der Ergebnisse über das genannte Online-Tool ist tatsächlich sehr 'human' ... und sogar für mich 'lesbar'
... für mich sieht das jedenfalls gut aus
... wann erreicht man schonmal 100% ? 😎
... alle drei Visualisierungen haben das folgende Ergebnis (Auszug):
Nachtrag:
... bisher waren sämtliche Sicherheits-(DMARC-)Berichte bzw. deren Visualisierungen erfreulich und ohne 'malignen' Befund
... trotzdem trudelte heute wieder eine suspekte SPAM-Nachricht herein, auf die ein 'unbedarfter' Anwender evtl. hektisch reagieren könnte.
In der Spam-Nachricht wird davor gewarnt, dass man die eigene Domain verlieren könnte, falls man nicht schnell reagiert 😅
Ich selbst würde auf sowas nicht hereinfallen, da ich inzwischen schon Vieles an SPAM-Varianten gesehen habe, aber in der Vergangenheit habe ich tatsächlich erlebt, dass eine kleine Steuerkanzlei ihre Domain verloren hat, weil sie in Eigenregie zu einem anderen Provider umziehen wollte und weil in der kurzen Zwischenzeit zwischen der Kündigung der Domain beim alten Provider und der Neuanmeldung der selben Domain beim neuen Provider die Domain von einem asiatischen 'Service' geklaut (registriert) wurde.
Die größte Frechheit dabei war, dass die geklaute Domain der Steuerkanzlei postwendend wieder zu einem recht hohen Preis zum Kauf angeboten wurde.
Damit es nich langweilig wird.
Gerade trudelt eine Mail ein mit einem "Eintragungsantrag" Branchenbuchverzeichnis 2025/2026. Absender ist eine "Weko Media". (Im kleingedruckten findet sich eine Adresse in Albuqereque, NM USA.
Wer die beigefügte Korrekturfahne "korrigiert" und unterzeichnet zurücksendet hat einen Vertrag mit 2 Jahren Mindestlaufzeit am Hals für jährlich rd. 1.000,00 Euro. Die Gegenleistung ist ein Eintrag unter www.firmeneintrag.net.
Spam der üblen Art. Vielleicht auch mal an die Mandanten weiterleiten.
Better call Saul 😉
Nach den wöchentlichen Wellen von gefälschten BMF-Mahnungen, angeblichen Strafbefehlen wegen Missbrauchsfilmen*, outgesourcten Finanzamt-Inkasso-Mails und weiteren Kuriositäten im Postfach, heute mal wieder was klassisches, kreatives, ja schon fast Phishing mit Herz. 💖
Betreff: Ich wollte Ihnen vor meinem Tod einen Teil meines Vermögens hinterlassen und habe Sie als Begünstigten ausgewählt.
Nachricht:
Hallo T_Ahmad
Ich entschuldige mich für die Unannehmlichkeiten. Ich habe Ihre E-Mail gerade über meinen Anwalt erhalten. Mein Name ist Frieda HOFFMAN, ich bin französischer Herkunft. Ich leide an einer schweren Krankheit, die mich zum sicheren Tod verurteilt: Kehlkopfentzündung. Jede Person mit 175.000 € muss an eine Person überwiesen werden, die diese einzieht und Anspruch auf eine angemessene Entschädigung für deren Nutzung hat. Ich bin Geschäftsführerin des Agrarunternehmens HOFFMAN-FERME, Erbin meines Vaters. Dazu gehören 50 Hektar Land, auf dem Sojabohnen angebaut werden. Im Jahr 2017 wurden mein Mann und mein einziger Sohn Opfer eines Verkehrsunfalls, bei dem mein Sohn nach zwei Krankenhausaufenthalten starb. Mein Mann ist verstorben. Ein Teil meines Vermögens wurde bereits an das Kinderheim Saint-Vincent-de-Paul in Nantes gespendet. Ich schreibe Ihnen diesen Brief von meinem Krankenhausbett in London, wo ich medizinisch versorgt werde. Ich möchte diesen Betrag vor meinem Tod spenden, da meine Tage aufgrund dieser unheilbaren Krankheit gezählt sind. Ich möchte Ihnen diesen Betrag spenden; Ihre Assistentin ist in Ihrem Unternehmen tätig. Bitte nehmen Sie ihn als Spende an. Ich suche einen Empfänger und habe Ihre Kontaktdaten. Ich erwarte Ihre baldmöglichste Antwort.
Wenn Sie diese Spende wünschen, können Sie mich über die angegebene E-Mail-Adresse kontaktieren.
Kontaktieren Sie uns direkt per E-Mail:
E-Mail: [email protected]
Das sieht ja schon fast nach mühsamer Handarbeit aus, statt Massenabfertigung von der Stange. Sogar mein Vorname (nicht in der E-Mail-Adresse erkennbar) wurde recherchiert (Oder einem Mandanten aus dem Postfach geklaut) und man hat sogar das Postfach des Absenders für die Kommunikation gekapert. (Auch wenn weder Name noch Geburtsdatum passen.) Glücklicherweise ändern auch die Aussicht auf 175.000,-€ nicht meine irrationale und unbegründete Abneigung gegenüber Franzos*Innen(?), weshalb ich nicht drauf reingefallen bin. Puuuh....
*TBH halte ich das in Teilen sogar für eine gute Sache. Wer damit nichts am Hut hat, wird skeptisch. Wer derartigen Schmutz besitzt oder verbreitet und daher in Panik schnell bezahlt, hat weniger Geld um weiteren gesellschaftlichen Schaden anzurichten. Ich hoffe nur die Betrüger sind moralisch auch so aufgeweckt, dass die erpressten im Anschluss der Polizei gemeldet werden.
Ich hatte heute eine nette Phishing-Mail im Postfach:
... ziemlich perfide ...
... und wenn man mit der Maus über den Link fährt (bitte nicht klicken !!), wird vermutlich eine ganz andere Internetadresse angezeigt, oder ?
@vogtsburger Ja, da kommt ein ganz langer Rattenschwanz, wo von Elster nichts mehr zu entdecken ist.
Ich warte schon auf die Email :
Ihr Name taucht im Zusammenhang mit den Eppstein Files auf. Wenn Sie nicht möchten.....
@vogtsburger schrieb:
... "ein alter Hut" werden die 'jungen Wohlbehüteten' rufen 😎
Wenn man Grundregel Nr. 1 beachtet, filtert man selbst 95% Übel aus:
Lass Dich nicht unter Druck setzen, bewahre Ruhe!
Signalworte sind beispielsweise "jetzt", "sofort", "umgehend", "letzte Möglichkeit", "schnell", "hier klicken".
Varianten dieses Ionos-Phishings erreichten mich wiederholt. Obwohl "jetzt gleich!" mein E-Mail-Zugang gesperrt werden und ich "schnell reagieren!" sollte, erhielt ich diese "E-Mail-Zugang gleich gesperrt!"-E-Mails quasi stündlich. Empfand ich als unlogisch. 😁
@bodensee schrieb:Ihr Name taucht im Zusammenhang mit den Eppstein Files auf.
Das kann aber auch sowas wie ein Ritterschlag sein. Wenn man nur deshalb drin steht, weil Epsteins "Freunde" sich bei ihm ausheulen, wie gemein man zu ihnen wäre. 😂
... habe ganz aktuell von einer befreundeten Datev-Kanzlei (PartnerASP-Nutzer) von einer manipulierten PDF-Rechnung erfahren, die dem Empfänger der Rechnung, einem langjährigen Mandanten der Kanzlei, 'spanisch' vorkam.
Auf der Originalrechnung (im PDF-Format) war die Bankverbindung der Kanzlei im Briefkopf gelöscht und unter dem Rechnungstext wurde ein "! Wichtiger Hinweis !" hinzugefügt, nämlich dass sich die Bankverbindung geändert habe
... aber vermutlich wäre diese Rechnung dem Mandanten (hoffentlich) auch mit deutscher IBAN 'spanisch vorgekommen'
... wer schmeißt schon gern einen 4-stelligen Betrag in ein 'Schwarzes Loch' ?
Die Frage ist jetzt nur:
Aus meiner Sicht wurde vermutlich das E-Mail-Konto des Mandanten gehackt.
Könnte die E-Mail evtl. auch irgendwo auf dem 'Transportweg' manipuliert worden sein ?
Evtl. hat dort jemand Zugriff und muss nur auf interessante Eingangsrechnungen warten, die PDF manipulieren und sie dem Mandanten in den Posteingang legen
perfide !
... denn etwas 'Normaleres' als eine 'übliche' und 'erwartete' Rechnung seines Steuerberaters kann es kaum geben 😉
... mich wundert bloß, dass spanische Bankkonten für solche solchen Fake-Rechnungen verwendet werden
... aber warum ?
... hat man denn in Spanien die geringsten Chancen, wieder an sein Geld zu kommen oder wenigstens die Spur des Geldes zu verfolgen ?
Zitat:
"Perfide ist, dass als Absenderadresse eine eigene E-Mail-Adresse verwendet wird
Sich selbst findet man ja meist seriös 😎"
Eigentlich nur bei Demenz. Wenn ich eine Email an mich selber schicke, dann entweder, um etwas zu testen - werde ich also kaum vergessen - oder als Erinnerung. Und wenn ich mich nicht an die Mail erinnern kann, bedeutet das Demenz oder Spam/Phishing.
Letztlich geht es immer um Resilenz gegen social engineering.
Schulung ist gut - außer wenn rein theoretisch. Was besser ist: Beispiele, Beispiele, Beispiel! Und in der Schulung die "Schüler" selber erkennen lassen, woran man die Schadmail erkennt.
Und meine Erfahrung dazu auch: Wenn ein(e) Mitarbeiter(in) fragt, ob eine Mail vielleicht nicht sauber ist: Immer eine positive Rückmeldung geben! Ja, klasse, das du fragst! 👍gibt es bei mir immer dazu. Auch gerne noch ein paar Erklärungen, woran man noch die Schadmail erkennen kann. Nicht als Nachhilfe, sondern als wenn ich plaudere. Ich habe den Eindruck das wirkt gut! Letztlich stimuliere ich das Belohnungssystem im Gehirn.
Ich bin hoffentlich nicht zu weit vom eigentlichen Thema abgewichen
QJ
nur zur Richtigstellung:
in meinem letzten Beitrag geht es um eine echte Rechnung eines Steuerberaters (im PDF-Format und per E-Mail) an einen Mandanten, die aber manipuliert bei dem Mandanten ankam.
Das einzig Falsche an der Rechnung ist die Bankverbindung, natürlich mit dem Ziel, dass der Mandant den Rechnungsbetrag auf das Konto eines Betrügers überweist.
Frage:
wo könnte der 'Kasus Knaxus' auf dem Transportweg zwischen der Steuerkanzlei (PartnerASP) und dem Mandant liegen ?
@vogtsburger schrieb:...
Die Frage ist jetzt nur:
- wie kann das passieren ?
...
"passieren" kann eine solche Manipulation auf unterschiedliche Weise. Die wohl häufigste Ursache - nach meiner Beobachtung aus den betreffenden Mandaten und Gesprächen mit Kripo-Beamten, die in diesem Bereich ermitteln - sind kompromittierte E-Mail-Konten, entweder beim Versender oder beim Empfänger. Etwas seltener lassen sich solche Manipulationen auf Man-in-the-middle-Angriffe zurückführen. Dann war/ist allerdings irgendein Mail-Server in der Übertragungskette bereits kompromittiert.
@vogtsburger schrieb:
- wo kann/muss man nach Sicherheits-Löchern suchen und sie möglichst stopfen ?
das ist eine Sisyphusarbeit. Da gilt die alte Weisheit: die eigenen System aktuell halten, Virenscanner, Firewall, IDS-Systeme pflegen; und ganz wichtig: lange komplexe Passwörter verwenden die in kurzen Intervallen ausgetauscht werden. Was bei E-Mail-Konten auf die mehrere Personen zugreifen die einzige Möglichkeit ist für Sicherheit zu sorgen. Parallel wo immer möglich 2FA-VErfahren einsetzen.
Beim E-Mail-Provider über den Ihre Mails versendet/empfangen werden endet bereits ihr Einfluss. Sobald es in die Sphäre des Mandanten/Empfänger geht, haben sie keine Chance mehr.
Der Kollege und sein Mandant können sich glücklich schätzen, dass die Manipulation aufgefallen ist. Ansonsten ist im B2C-Bereich derzeit das OLG Schleswig vom 18.12.2024, Az. 12 U 9/24 "Stand der Rechtsprechung"; und im B2B-Bereich das OLG Karlsruhe vom 27.07.2023, Az. 19 U 83/22. Das Urteil des BGH vom 08.10.2025, IV ZR 161/24. dessen Sachverhalt für mich als RA von besonderer Bedeutung ist, ist in der Sache nur bedingt aussagekräftig.
@vogtsburger schrieb:
.... mich wundert bloß, dass spanische Bankkonten für solche solchen Fake-Rechnungen verwendet werden
... aber warum ?
... hat man denn in Spanien die geringsten Chancen, wieder an sein Geld zu kommen oder wenigstens die Spur des Geldes zu verfolgen ?
Das in diesem Fall eine Spanische Bankverbindung verwendet wurde ist tatsächlich eher ungewöhnlich. Die Fälle die ich bisher bearbeitet habe waren alles Manipulationen mit einer deutschen IBAN eines bestimmten FinTech, welches über eine deutsche Banklizenz verfügt.
Das System ist dabei immer gleich. Der Geldeingang auf dem Konto wird automatisch weitergeleitet und das Konto geschlossen. Spätestens dann sind Banken beteiligt, die in Ländern sitzen, bei denen eine eher geringe Kooperationsbereitschaft besteht, sei es aus politischen, sei es aus rechtlichen Gründen.
Solche Angriffe erfolgen häufig in Form einer sogenannten Supply-Chain-Attack (z. B. Phishing aus einem bereits kompromittierten E-Mail-Account eines Lieferanten/Mandanten). Die Kanzlei rückt dabei zunächst zufällig in den Fokus der Angreifer, da diese im E-Mail-Postfach des ursprünglich kompromittierten Mail-Accounts auf die Kommunikation zwischen Kanzlei und gehacktem Mandanten/Lieferanten stoßen. Der Angreifer fischt dann mit Hilfe einer Spear-Phishingmail die Zugangsdaten zum Account des Users ab und hat Glück: Der Account des Opfers verfügt über keine zusätzliche Absicherung via Multi-Faktor-Authentifizierung und verfügt über die Berechtigung die Vorlagendateien im System zu bearbeiten. Der Angreifer nimmt entsprechende Änderungen in Dokumenten vor und unternimmt ansonsten nichts, was zu abwehrenden/prüfenden Maßnahmen auf Seite der Kanzlei führen könnte. Der angegriffene User schweigt aus Scham und/oder Ignoranz ("Das war irgendwie komisch, aber es ist ja nichts passiert.") und ändert auch sein Kennwort nicht sofort.
Wie ist der Angreifer an die Zugangsdaten des Kanzlei-Mitarbeiters gekommen? Er versendet aus dem Postfach des bereits gehackten Mandanten/Lieferanten eine E-Mail, die den Mitarbeiter in der Kanzlei unter Druck setzen und zum Öffnen eines Links animieren soll: "Hilfe, das Finanzamt will meine Bilanz schätzen! Die wollen binnen 7 Tagen nun von mir diese Liste haben: Link zu einer via OneDrive geteilten Liste.com"
Die Mail wird zugestellt, weil sie von einem legitimen Absender kommt. Oft antworten die Angreifer einfach auf die letzte Mail, die der Mandant/Lieferant von der Kanzlei bekommen hat.
Maßnahmen zur Abwehr einer solchen Attacke sind:
- laufende Security Awareness-Maßnahmen (diverse Hersteller haben hier gute Lösungen, wie z. B. Hornetsecurity oder Securepoint) - wendet euch mal an eure IT-Dienstleister
- in diesem Zusammenhang ist auch eine gute Fehlerkultur innerhalb der Kanzlei wichtig: Selbst wenn etwas passiert, muss der User Alarm schlagen und darf nicht aus Scham, Angst oder Unwissenheit schweigen
- flächendeckende Multi-Faktor-Authentifizierung ohne Ausnahmen
- Echtzeit-Überprüfung von Links im Moment des Anklickens durch einen User (hierfür gibt es technische Lösungen)
- strengere Rechte-Administration in der DATEV Rechteverwaltung sowie Microsoft 365
Das regelmäßige Ändern komplexer Passwörter führt erfahrungsgemäß dazu, dass User diese dann im Klartext irgendwo speichern, was ein Risiko darstellt. Wir empfehlen daher, zwar komplexe Kennwörter in Verbindung mit einer Multi-Faktor-Authentifizierung zu verwenden, die User aber nicht ständig dazu zu zwingen, diese zu ändern.
Was die Haftung anbelangt, wäre meine laienhafte (!) Argumentation, dass die Haftung bei der angegriffenen Kanzlei liegt, wenn der Schuldner nachweisen kann, dass der Angriff aufgrund von Fahrlässigkeit seitens der Kanzlei erfolgen konnte. Fahrlässig ist meiner Meinung nach der Verzicht auf eine Multi-Faktor-Authentifizierung, das Schweigen des Users, sollte ihm etwas seltsam vorgekommen sein und die womöglich zu lasche Rechte-Administration in den Systemen der Kanzlei.
In diesem Zusammenhang sei nochmals erwähnt, dass immer mehr Cyberversicherer in ihren Bedingungen die Ergreifung von Maßnahmen zur Steigerung und Aufrechterhaltung der Security Awareness aller User vom Versicherten verlangen. Wir erleben immer wieder, dass Kanzleien hier nichts unternehmen oder irrtümlich davon ausgehen, sie würden dieser Pflicht durch eine jährliche Datenschutzschulung ihrer Angestellten nachkommen.
Am besten sprecht ihr alle mal euren IT-Partner an und bittet um kurze Info, welche Maßnahmen er für euch oder mit euch umsetzen kann. 😊
@agmü schrieb:"passieren" kann eine solche Manipulation auf unterschiedliche Weise. Die wohl häufigste Ursache - nach meiner Beobachtung aus den betreffenden Mandaten und Gesprächen mit Kripo-Beamten, die in diesem Bereich ermitteln - sind kompromittierte E-Mail-Konten, entweder beim Versender oder beim Empfänger. Etwas seltener lassen sich solche Manipulationen auf Man-in-the-middle-Angriffe zurückführen. Dann war/ist allerdings irgendein Mail-Server in der Übertragungskette bereits kompromittiert.
Das passt zu einem Youtube-Video das ich gesehen habe ("Line Goes Up"), das solche Man-in-the-Middle Angriffe eher von untergeordneter Bedeutung sind und meistens stattdessen Konten kompromittiert werden und Dritte Zugriff darauf erlangen. Da hieß es auch, einige Konzepte um vor diesen Man-in-the Middle Angriffen zu schützen (Kryptowährungen) führen zu einem Verlust von jeglichem Schutz bei Angriff auf das Konto.
Das macht auch hier Einzugsermächtigungen immer wichtiger. Die meisten Mandanten achten dann nicht mehr auf das Konto, welches auf der Rechnung steht.
Hier muss auf jeden Fall ein richtiger Fachmann ran, der schaut, wo das Loch ist.
@Howie schrieb:Das regelmäßige Ändern komplexer Passwörter führt erfahrungsgemäß dazu, dass User diese dann im Klartext irgendwo speichern, was ein Risiko darstellt. Wir empfehlen daher, zwar komplexe Kennwörter in Verbindung mit einer Multi-Faktor-Authentifizierung zu verwenden, die User aber nicht ständig dazu zu zwingen, diese zu ändern.
Bei den Passwörtern sind die Anforderungen nach Zahlen, Sonderzeichen und so nervig. Hier habe ich einen Gegenvorschlag gehört, dass man hierauf verzichtet und einfach die Passwörter dafür länger macht. Ich kann natürlich nicht beurteilen, ob das ein tragbares Sicherheitskonzept ist, kann aber sagen, dass ich mir einen längeren Text eher merken kann al einen kurzen Buchstaben- und Zahlensalat.
@f_mayer schrieb:...Bei den Passwörtern sind die Anforderungen nach Zahlen, Sonderzeichen und so nervig. Hier habe ich einen Gegenvorschlag gehört, dass man hierauf verzichtet und einfach die Passwörter dafür länger macht. Ich kann natürlich nicht beurteilen, ob das ein tragbares Sicherheitskonzept ist, kann aber sagen, dass ich mir einen längeren Text eher merken kann al einen kurzen Buchstaben- und Zahlensalat.
Ein längeres Passwort ist nur bedingt geeignet bei der heute zur Verfügung stehenden Rechenleistung einen Brute-Force-Angriff (Versuch und Irrtum) zu überstehen. Ein "guter" Passwortgenerator erleichtert die Arbeit etwas.
+ ein guter Passwort-Manager
@ howie Munson