... nochmal zum Ursprungs-Beitrag :

was ist denn jetzt der aktuelle Stand dieser konkreten Phishing-Attacke mit angeblichen E-Mails von Datev ?

(ich habe ehrlich gesagt nicht den Nerv, den kompletten Thread zu verfolgen)

• ist der Urheber bekannt ?
• welche Gefahr droht (Ransomware, Identitätsdiebstahl, Zugangsdaten usw. ) ?
• Handlungsempfehlungen speziell bei Erhalt einer solchen Mail ?
• ... ?

... es findet sich ja leider immer mal wieder jemand in der Kanzlei, der aus Dusseligkeit oder wegen Stress oder aus sonstigen Gründen auf sowas klickt

P.S.

der Warnhinweis hier in der Community ist ein guter Ansatz, aber leider nicht ausreichend und nicht "niederschwellig", also nicht allgemeinverständlich genug

Die Malware-Routiniers bräuchten die Warnung nicht und die Malware-Ahnungslosen können nicht viel mit dieser Warnung anfangen 

@vogtsburger schrieb: was ist denn jetzt der aktuelle Stand dieser konkreten Phishing-Attacke mit angeblichen E-Mails von Datev ?

Hallo @vogtsburger , hallo Community

der Stand ist der, dass wir ab heute die Warnung zur potentiellen Gefahr durch Phishing-Attacken in die Bestätigungsmail für Kunden, die Belege nach DUo hochladen, ergänzt haben. Ähnlich wie der aktuelle Banner hier in der Community.

@vogtsburger schrieb:

• ist der Urheber bekannt ?
• welche Gefahr droht (Ransomware, Identitätsdiebstahl, Zugangsdaten usw. ) ?
• Handlungsempfehlungen speziell bei Erhalt einer solchen Mail ?
• ... ?

 

• Die Urheber sind bei solchen Phishing-Attacken kaum zu ermitteln. Wir kennen die Urheber leider nicht. 
• Alle aufgeführten Daten sind denkbar. Nicht immer direkt und unmittelbar. Die Motivation solcher Phishing-Angriffe sind sehr vielfältig. Manchmal werden diese auch nur als Testballon gestartet, damit man dann weiß wie auf solche Situationen reagiert wird.
• Wir veröffentlichen dazu nächste Woche Tipps zum Schutz vor Phishing-Angriffen. Grundsätzlich ist ein gesundes Misstrauen ein guter Berater. Aber bitte kein paranoides Verhalten 😉

@vogtsburger schrieb: ... es findet sich ja leider immer mal wieder jemand in der Kanzlei, der aus Dusseligkeit oder wegen Stress oder aus sonstigen Gründen auf sowas klickt

Dringende Empfehlung: Bitte die Mitarbeitenden nicht als dusselig hinstellen, wenn Fehler gemacht werden. Es ist zielführender zu hinterfragen warum es zu diesem Verhalten kam und was getan werden kann, damit dies nicht mehr passiert. Das kriminelle Geschäft in dem Phishing zum Einsatz kommt ist mittlerweile so professionell, das auch gezielt auf die Psychologie des Menschen gesetzt wird. Unser Gehirn spielt uns manchmal Streiche. Gerade deshalb, weil es so gut wie möglich Bekanntes automatisieren möchte. Das spart Energie und hier setzen die Angreifer an.

Wir alle kennen den Moment im Leben, an dem wir uns fragen: "Warum hab ich das denn jetzt gemacht?

Sprecht mit den Menschen in Euren Kanzleien und fragt sie auch was sie brauchen, damit sie sich in der Sache sicherer fühlen und Fehler vermieden werden können!

P.S.

der Warnhinweis hier in der Community ist ein guter Ansatz, aber leider nicht ausreichend und nicht "niederschwellig", also nicht allgemeinverständlich genug

 

Die Malware-Routiniers bräuchten die Warnung nicht und die Malware-Ahnungslosen können nicht viel mit dieser Warnung anfangen 

Danke für den wichtigen Hinweis! Sehen wir mittlerweile auch so. Wir werden nächste Woche die Kommunikation dazu anpassen und verbessern. Gerade für die Unerfahrenen, die neu Im Bereich der IT sind. 

VG aus Nürnberg,

Thomas Müller

---

@Thomas_Müller schrieb:

Gerade deshalb, weil es so gut wie möglich Bekanntes automatisieren möchte. Das spart Energie und hier setzen die Angreifer an.

---

Sorry aber gerade da stößt man mit DATEV ja schnell an Grenzen 😶. Bei DATEV kann man selten automatisieren und wenn, dann gerade "falsch", weil bei DATEV oft irgendwelche Meldungen aufploppen, die man dann wissentlich schon einfach so bestätigt, weil sie nur nerven anstatt tatsächlich helfen. Da muss DATEV aus meiner Sicht auch noch besser werden. 

Und weil das Gehirn Bekanntes automatisieren möchte, sehen die Cloud Anwendungen alle ein bisschen anders im CI/CD aus, damit wir ja "wach" bleiben? 

@Thomas_Müller: Und zum Thema Phishing: Heute eine E-Mail von Skribble erhalten. Absender ist no-reply@mail.skribble.com, Empfänger ein Mitarbeiter aus der Kanzlei. Kein DATEV Branding; alles von Skribble.  

---

Andrea Regel is waiting for your signature on the document below. Don't forget to sign it.

---

Woher soll ich wissen, wer das ist? Arbeitet sie bei DATEV? Musste ich erstmal bei LinkedIn schauen: Arbeitet bei DATEV. Ist jeder Mitarbeiter bei LinkedIn, XING, etc.? Nicht zu 100% mit ja zu beantworten. 

In der E-Mail nur ein Button view document. Wie es Hacker mit Ransomware auch mit Office Dokumenten machen. Der Dateiname, den man signieren soll: für mich völlig kryptisch. Was ist Skribble? Unerfahrene werden sich eher an FP-Sign als Signaturpartner in DATEV DMS erinnern. DATEV arbeitet selbst dran vorbei, weil es für DATEV selbst besser ist. Muss man auch erstmal wissen. 

Der Empfänger hatte es auch hier richtig gemacht: Du Daniel, das ist ein bisschen komisch. Ich leite Dir da mal was weiter. 

Da darf DATEV gerne selbst besser werden 😶. 

@metalposaunist schrieb: Da darf DATEV gerne selbst besser werden

 

. 

...wir können immer besser werden. Ist uns bewusst, danke trotzdem für Deinen Input 🤝  

VG aus Nürnberg,

Thomas Müller

---

@metalposaunist  schrieb:

 

@Thomas_Müller: Und zum Thema Phishing: Heute eine E-Mail von Skribble erhalten. Absender ist no-reply@mail.skribble.com, Empfänger ein Mitarbeiter aus der Kanzlei. Kein DATEV Branding; alles von Skribble.  

 

---

Andrea Regel is waiting for your signature on the document below. Don't forget to sign it.

---

Woher soll ich wissen, wer das ist? Arbeitet sie bei DATEV? Musste ich erstmal bei LinkedIn schauen: Arbeitet bei DATEV. Ist jeder Mitarbeiter bei LinkedIn, XING, etc.? Nicht zu 100% mit ja zu beantworten. 

 

In der E-Mail nur ein Button view document. Wie es Hacker mit Ransomware auch mit Office Dokumenten machen. Der Dateiname, den man signieren soll: für mich völlig kryptisch. Was ist Skribble? Unerfahrene werden sich eher an FP-Sign als Signaturpartner in DATEV DMS erinnern. DATEV arbeitet selbst dran vorbei, weil es für DATEV selbst besser ist. Muss man auch erstmal wissen. 

 

Der Empfänger hatte es auch hier richtig gemacht: Du Daniel, das ist ein bisschen komisch. Ich leite Dir da mal was weiter. 

 

---

Da muß ich die Lebkuchen, äh die Nürnberger in Schutz nehmen:

Es gibt DREI Dokumente dazu in "Datev Partner" sowie eine pdf wo dieses Vorgehen so beschrieben ist!

---

@siro schrieb:

Es gibt DREI Dokumente dazu in "Datev Partner" sowie eine pdf wo dieses Vorgehen so beschrieben ist!

---

Wo? Wir sind Kanzlei, kein DATEV (Solution) Partner.  

@metalposaunist 

😁Ihr seid Partner !

Das ja. Zählt das zu Partner? Weiß ja nicht, wie der Begriff sich bei DATEV darstellt. Und wo kann man's jetzt nachlesen? 😂 Bei Berater für Berater bin ich organisatorisch raus. Die Mitarbeiterin hat nur diese E-Mail von Skribble bekommen. Da steht auch kein Hinweis drin. Weil dann müsste man sich ja an die drei PDFs oder ähnlich erinnern, dass da mal was war. 

---

@Thomas_Müller schrieb:
[...] ...wir können immer besser werden. Ist uns bewusst, [...]

---

... ich habe den Eindruck, dass es immer aufwärts geht ... 😎

Kommt drauf an, in welche Richtung man geht 😊....

Hallo Community,

zu der letzte Woche hier kommunizierten Phishing-Attacke gibt es aktuell keine akuten Meldungen mehr. Das heißt natürlich nicht, das wir uns bei diesem Thema, ganz nach dem Motto "Es ist ja nun vorbei", zurücklehnen können. Sicher nicht!

Wir werden heute in der DATEV-Community und auch auf der Webseite datev.de den Banner wieder entfernen. Auf datev.de haben wir heute einen neuen Artikel online gestellt. Mit diesem Artikel möchten wir auf der einen Seite zum Thema Phishing sensibilisieren und auf der anderen Seite geben wir allen interessierten Lesern 6 wichtige Optionen mit, wie man sich grundlegend gegen Phishing-Attacken schützen kann.

Kennen Sie die Datev AG? – DATEV magazin (datev-magazin.de)

Wenn Euch mehr solche Artikel interessieren, gebt mir gerne Rückmeldung dazu. Ich kann dann mit den Kolleginnen und Kollegen bei DATEV weitere Artikel aus dem Bereich Security und Datenschutz veröffentlichen. Intern hatten wir zum Beispiel gerade zum Thema Job-Scamming sensibilisiert und aufgeklärt.

Viele Grüße hier aus Nürnberg,

Thomas Müller

Was ich etwas komisch finde, ist der Hinweis (?) der DATEV (?) hierzu in den (korrekten?) Mails.

Ich bekommen (von DATEV?) eine Mail mit Absender "noreply@uploadmail.datev.de" die davor warnt, dass eine Phishing-Mail mit dem (selben) Absender "noreply@uploadmail.datev.de" kommen könnte.

In der gleichen (korrekten?) Mail solle man doch "hier" klicken, um weitere Infos zu erhalten. 

Meiner Meinung nach hat da wer bei DATEV nicht wirklich gut nachgedacht, denn ich werde mich davor hüten bei einer Mail, die die gleiche Absenderadresse hat wie die vermeintliche Phishing-Mail, auf irgendeinen Link zu klicken!!!

Ich hätte hier nur einen textlichen Hinweis auf weitere Infos unter DATEV.de angebracht und die Merkmale wie eine  gefälschte Mail zu erkennen ist, aber bestimmt keinen Link "klicken Sie hier", denn genau das ist ja der Trick der Phishing-Betrüger....... 

Nachtrag: Verzeihung bitte DATEV, aber das ist meiner Meinung nach ein nicht sehr geschicktes Vorgehen zur Sensibilisierung der User.

Das Problem bei gefälschten Absenderadressen in Emails ist, dass man die genau aus dem Grund so wählt, dass sie nicht auf den ersten Blick auffallen. Im Prinzip kann man dort alles eintragen, was man will.

Beim eingebetteten Link im Warnbanner der echten DATEV Rückantwortmails ist es dann wieder die Herausforderung, wie man erkennen kann, ob der Anwender oder die Anwenderin auf eine DATEV eigene oder falsche, bösartige Seite geführt werden soll. Am leichtesten ist das mit dem sogenannten Mouse Over herauszufinden, mit dem man wenige Sekunden mit dem Mauszeiger über dem Link verharrt (OHNE zu klicken) und sich dann die angezeigte Zieladresse genau anschaut, die sich hinter dem Link verbirgt.

Grundsätzlich ist die Email leider kein sicheres Kommunikationsmittel und kann nur bis zu einem gewissen Grad mit Hilfe von Zusätzen abgesichert werden - jedoch nie zu 100 Prozent.

Ein guter Anhaltspunkt ist noch, auf die digitale Signatur der von DATEV erhaltenen Email zu schauen (damit meine ich nicht den Text am Ende der Mail!). Diese kann nicht gefälscht werden und wird in den Standard Mailprogrammen (installierte Mailclients, keine Webmailer) zuverlässig geprüft und verifiziert.

Ansonsten empfehle ich noch einmal den Blick in den Artikel des DATEV Magazins, den mein Kollege weiter oben schon hier gepostet hat: 

Kennen Sie die Datev AG? – DATEV magazin (datev-magazin.de)

Mit besten Grüßen

Oliver Hetz

DATEV eG

---

@Oliver_Hetz schrieb:

Am leichtesten ist das mit dem sogenannten Mouse Over herauszufinden, mit dem man wenige Sekunden mit dem Mauszeiger über dem Link verharrt (OHNE zu klicken) und sich dann die angezeigte Zieladresse genau anschaut, die sich hinter dem Link verbirgt.

---

Klappt unter Apple macOS leider nicht oder wer kann's mir zeigen? 🤗 Und klappt auch bei Outlook im Web unter Safari (afaik) nicht. 

---

@Oliver_Hetz schrieb:

Diese kann nicht gefälscht werden und wird in den Standard Mailprogrammen (installierte Mailclients, keine Webmailer) zuverlässig geprüft und verifiziert.

---

Jupp und alles geht in die Cloud inkl. Outlook im Web 🤓. Ein lokales Outlook braucht man eigentlich nicht mehr. Unter macOS habe ich's deinstalliert. www.outlook.com im Browser - fertig 😍. 

Aber ich arbeite auch in der Zukunft 🚀, wo DATEV noch nicht so ganz ist 😜. 

@metalposaunist 

Klappt unter Apple macOS leider nicht oder wer kann's mir zeigen? 

I beg to differ, mein Rechner unter macOS 12.5.1 kann das mit Apple Mail problemlos (und zwar schon jahrelang!)

Sie haben viel geschrieben und erklärt, danke dafür.

Die Worte wirken aber doch etwas wie von oder für eine Seniorenhilfsgruppe (oder andere - ich möchte hier keinem Senior zu nahe treten) geschrieben, auf jeden Fall Personen die sich zum ersten mal mit diesen unerforschten Dingen (Internet und Mail und so) befasst.

War aber bestimmt ganz nett gemeint, gefragt hatte ich danach aber (so meine ich) in meinem Beitrag gar nicht.

Sie sind meines Erachtens überhaupt nicht auf meine Kritik eingegangen (Kommunikation), schade.

Manchmal will man das auch einfach nicht. Muss und werde ich akzeptieren. 

Servus @metalposaunist ,

das es bei Dir mit dem MAC nicht funktioniert ist interessant. Kannst Du ein bisschen was zu der MAC-Konfiguration verraten? Also Modell und OS-Version? Ich würde das mal gerne ausprobieren.

Unter OWA - Outlook im Web 😉 übernimmt den ToolTip beim Mouseover der Browser. Entweder in der Statusleiste oder unten Links als Tooltip-Bubble. Nicht schön, aber sollte in allen Browsern so angezeigt werden.

Melde Dich bitte noch mal falls das tatsächlich nicht angezeigt wird. Ich habe es gerade bei mir noch mal probiert. Ist hoffentlich nicht nur ein Vorzeigeeffekt 😎

 @metalposaunist schrieb: Aber ich arbeite auch in der Zukunft

 

, wo DATEV noch nicht so ganz ist 

 

Daher sind wir doch ganz froh, wenn Menschen wie Du uns immer wieder antreiben 😋

VG aus Nürnberg,

Thomas Müller

Hallo @Neu_hier ,

@Neu_hier schrieb: 

Meiner Meinung nach hat da wer bei DATEV nicht wirklich gut nachgedacht, denn ich werde mich davor hüten bei einer Mail, die die gleiche Absenderadresse hat wie die vermeintliche Phishing-Mail, auf irgendeinen Link zu klicken!!!

 

Ich hätte hier nur einen textlichen Hinweis auf weitere Infos unter DATEV.de angebracht und die Merkmale wie eine  gefälschte Mail zu erkennen ist, aber bestimmt keinen Link "klicken Sie hier", denn genau das ist ja der Trick der Phishing-Betrüger......

Danke! Das ist eine absolut nachvollziehbare Kritik. Ich trage bei der Umsetzung auch mit Verantwortung. Ich nehme das gerne mit auf und lass diesen Input bei der nächsten Info mit einfließen. Die aktuelle wird jetzt in der kritisierten Variante sicher noch etwas verschickt. Ich spreche aber mal mit den Kollegen was wir da noch tun können.

Viele Grüße hier aus Nürnberg,

Thomas Müller

---

@Thomas_Müller schrieb:

Kannst Du ein bisschen was zu der MAC-Konfiguration verraten? Also Modell und OS-Version? Ich würde das mal gerne ausprobieren.

---

Ich nutze kein Apple Mail. Apple MacBook Air (2017), macOS Monterey 12.5.1 + Safari und Outlook im Web. Daher hilft da keine Signatur, weil Safari die nicht "lesen" kann. Unter MS Edge kann man ein AddOn installieren, dass diese wieder prüft aber MS Edge unter Apple macOS? Hm, nö. Safari only. 

Aber Phishing ist ja nun nicht neu. Waren die Angreifer diesmal halt ein bisschen cleverer und haben das Potential erkannt. Kann nur zum Besseres beitragen. Und da nichts zu 100% sicher ist, kann DATEV da noch so viel Energie und Härtungen implementieren - es wird immer einen Weg geben. 

---

@Thomas_Müller schrieb:

Unter OWA - Outlook im Web 😉 übernimmt den ToolTip beim Mouseover der Browser.

---

Ich bin einfach zu ungeduldig. So viel Zeit habe ich nicht, den Mauszeiger da ruhen zu lassen 😂. 

Durch Outlook geschützt 😎. Nice! Weckt gleich viel Vertrauen 💪 und alle Links werden durch MS geprüft? Zumindest haben auch normale Links folgenden Präfix: https://nam12.safelinks.protection.outlook.com/?url= 

Tut Microsoft hier also das im Kleinen, was auch DATEVnet kann? 🤓

Moin zusammen, 

fällt mir gerade ein, weil ich's gestern eingerichtet habe: Gegen solche Attacken könnte auch ein pihole im Netzwerk helfen, mit dem man DNS Abfragen unterbinden kann, weil bei mir 1,8 Mio. Adressen auf der Blacklist stehen, die sich dynamisch aktualisieren. Und ich denke, dass das noch wenige sind. Die Liste lässt sich beliebig erweitern - auch manuell kann man damit bestimmte Adressen unterbinden. 

Im Schnitt werden so ca. 35% aller DNS Anfragen meiner Geräte gleich erst gar nicht bis ins Internet weitergeleitet, sondern vorher einfach geblockt. Läuft sehr, sehr zuverlässig. Wenn nicht, das Raspberry einmal stromlos machen und nach 5 Sekunden geht's weiter. Kommt vielleicht 1x im Jahr vor. 

@Thomas_Müller & @chrisocki: Kennt man die URL, die sich hinter dem Button versteckt? Dann würde ich die einfach mal durch die Datenbank jagen 😎.