Betrugsversuch mit Dropbox-Link

Oktober 2025: Phishing-E-Mails mit gefälschten DATEV-Rechnungen

Aktuell werden gefälschte DATEV-Rechnungen mit Betreff „DATEV-Rechnung Nr. 2141212205 vom 13.10.2025“ versendet. Datum und Rechnungsnummer können jedoch abweichen. Hinter einer Schaltfläche mit Aufschrift „DATEV-Rechnungen online einsehen“ liegt ein unbekannter Dropbox-Link, welcher keine gültige DATEV-Adresse darstellt. Darüber wird versucht, sensible Daten abzugreifen oder Schadsoftware zu verbreiten. 

Woran Sie den Betrugsversuch erkennen: 

  • Verdächtiger Hyperlink: Per Mouseover können Sie die Zieladresse eines Links kontrollieren. Weicht die Angezeigte URL von bekannten DATEV-Domänen (z. B. …datev.de) ab, in diesem Fall ein unbekannter Dropbox-Link, klicken Sie auf keinen Fall darauf. Falls doch bereits geklickt wurde, empfehlen wir, sich direkt an Ihren zuständigen IT-Beauftragten zu wenden.
  • Misstrauen Sie ungewöhnlichen Anfragen: Wenn Sie unerwartete Rechnungen oder Aufforderungen zur Eingabe persönlicher Daten erhalten, seien Sie skeptisch. Schützen Sie Ihre persönlichen Daten und prüfen Sie die Herkunft solcher Anfragen sorgfältig, bevor Sie handeln. Öffnen Sie DATEV-Programme und -Portale nie über E-Mail-Links, sondern ausschließlich über bekannte Lesezeichen oder geben Sie die Adresse direkt ein.
  • Absenderadresse: Als Absenderadresse wird eine frei erfundene Adresse angezeigt, z.B. DATEV eG <info@amazon*******.com>, also keine valide DATEV-E-Mail-Adresse. Betrüger können E-Mails jedoch so aussehen lassen, als kämen sie tatsächlich von DATEV (E-Mail-Spoofing). Seien Sie daher besonders aufmerksam.

Das ist ein typischer E-Mail-Phishing-Angriff, der auch in abgewandelter Form auftreten kann. Wie Sie diese Art von Social Engineering als solche erkennen und abwehren können, erfahren Sie im Bereich  Umgang mit Social Engineering unter  E-Mail-Phishing.

Betrugsversuch mit Lookalike-Domäne „mydatlev.de-einarbeitung.com“

Oktober 2025: Phishing-E-Mail mit Betreff „Profilangaben überprüfen“, „Vollständigkeit der Unterlagen“ oder „Firmeneinträge pflegen“

Aktuell kursieren Phishing-E-Mails, die Sie dazu auffordern, Ihre Unternehmensdaten zu verifizieren oder Firmeneinträge zu bestätigen. Der Inhalt dieser E-Mails bezieht sich auf eine angebliche Wartung, Betreuung oder Pflege von MyDATEV. Bei den uns vorliegenden Varianten sind Wörter wie „prüfen“, „sehen“ oder „einsehen“ mit einem Link versehen, welcher auf eine gefälschte Website führt. Zieladresse ist die Lookalike-Domäne mydatlev.de-einarbeitung.com.
Diese Seite versucht, Zugangsdaten abzugreifen und Schadsoftware zu verbreiten. Teilweise sind die E-Mails mit frei erfundenen Namen wie „Katrin Müller, Leiterin Produktmanagement“ unterzeichnet.

Woran Sie den Betrugsversuch erkennen:

  • Ungewöhnliche Aufforderungen: Es wird verlangt, „Geschäftsdaten zu verifizieren“, den Abschnitt „Unternehmensprofil“ zu prüfen oder Einträgen zuzustimmen.
  • Handlungsdruck: Es wird suggeriert, eine Funktion bleibe nur erhalten, wenn Sie sofort tätig werden.
  • Versteckte Links: Der Link steckt hinter Formulierungen wie „prüfen“ oder „sehen“. Per Mouseover erkennen Sie maliziöse Zieladressen, ohne zu klicken.
  • Lookalike-Domäne: Der Link führt nicht auf „…datev.de“, sondern eine ähnlich aussehende Adresse. In diesem Fall: „mydatlev.de-einarbeitung.com“. Alles vor dem letzten Punkt ist nur die Subdomäne – maßgeblich ist die End-Domäne, welche keine offizielle DATEV-Adresse ist.
  • Absenderadresse: Häufig stammen die Mails von generischen oder frei erfundenen Adressen. Durch E-Mail-Spoofing kann der Absender jedoch trotzdem so wirken, als käme er von DATEV. Seien Sie daher besonders aufmerksam.

Das ist ein typischer E-Mail-Phishing-Angriff, der auch in abgewandelter Form auftreten kann. Wie Sie diese Art von Social Engineering als solche erkennen und abwehren können, erfahren Sie im Bereich  Umgang mit Social Engineering unter  E-Mail-Phishing.

Betrugsversuch mit einer gefälschten &#34;Rechnung&#34; im Anhang und einem gefälschten Download

September 2025: „Finanzberichte August zur Einsicht und Prüfung bereit“ mit Hinweis auf drei angeblich offene Rechnungen

Derzeit kursieren gefälschte E-Mails an DATEV-Kunden mit dem Betreff “Finanzberichte August 2025 zur Einsicht und Prüfung bereit”. In der E-Mail befindet sich ein Anhang, der das Wort „Rechnung“ im Titel trägt. Es wird behauptet, dass ein Monatsbericht für August (01.08.2025 - 31.08.2025) zum Download bereitstehe und dass „sich im aktuellen Bericht drei offene Rechnungen befinden“.

Eine Schaltfläche mit der Aufschrift Download | DATEV Mittelstand verlinkt auf eine gefälschte Internetseite, über die versucht wird, sensible Daten abzugreifen oder Malware herunterzuladen. Beachten Sie daher unbedingt folgende Hinweise:

  • Misstrauen Sie ungewöhnlichen Anfragen: Wenn Sie unerwartete E-Mails oder Aufforderungen zur Eingabe persönlicher Daten erhalten, seien Sie skeptisch. Schützen Sie Ihre persönlichen Daten und prüfen Sie die Herkunft solcher Anfragen sorgfältig, bevor Sie handeln. Öffnen Sie DATEV-Programme und -Portale nie über E-Mail-Links, sondern ausschließlich über bekannte Lesezeichen oder direkt eingegebene Adressen.
  • Absenderadresse: Als Absenderadresse wird eine @gmail.com-Adresse angezeigt – also keine valide DATEV-E-Mail-Adresse. Betrüger können E-Mails so aussehen lassen, als kämen sie tatsächlich von DATEV (E-Mail-Spoofing).
    "DATEV eG <noreply@service.datev.de>" wurde in diesem Kontext ebenfalls bereits als Absenderadresse angezeigt.
  • Verdächtiger Hyperlink: Per Mouseover können Sie die Zieladresse eines Links kontrollieren. Weicht die Angezeigte URL von bekannten DATEV-Domänen (z. B. …datev.de) ab, klicken Sie auf keinen Fall auf den Link. Falls doch bereits auf einen Link geklickt wurde, empfehlen wir, sich direkt an Ihren zuständigen IT-Beauftragten zu wenden.
  • Erzeugen einer Drucksituation: Wie im Screenshot zu erkennen, wird innerhalb der E-Mail versucht, Handlungsdruck aufzubauen. Das wird vor allem durch die Passage „Wir bitten Sie, diese zeitnah zu prüfen und entsprechend zu veranlassen“ deutlich.

Das ist ein typischer E-Mail-Phishing-Angriff, der auch in abgewandelter Form auftreten kann. Wie Sie diese Art von Social Engineering als solche erkennen und abwehren können, erfahren Sie im Bereich  Umgang mit Social Engineering unter  E-Mail-Phishing.

Betrugsversuch mit einer DATEV-Rechnung

August 2025: Phishing-E-Mails mit gefälschten DATEV-Rechnungen

Aktuell kursieren vermehrt Phishing-E-Mails, die im Namen von DATEV versendet werden. Diese sind vor allem dann gefährlich, wenn Betroffene tatsächlich eine DATEV-Rechnung erwarten. Oft sind darin Links enthalten, die auf schädliche Inhalte führen. Es gibt jedoch Merkmale, die auf einen Phishing-Angriff hinweisen:

  • Verdächtiger Absender: Vergewissern Sie sich, dass es sich bei einer angegebenen Absender-Adresse um eine valide DATEV-E-Mail-Adresse handelt. Achtung: Betrüger können die sichtbare Absender-Adresse manipulieren. Überprüfen können Sie dies, indem Sie mit einem Mouse-Over über die Adresse fahren.

    Die einzig legitimen Absender-E-Mail-Adressen, von denen aus Rechnungen von DATEV versendet werden, sind aktuell: 
    datev-rechnung@smarttransfer.datev.de 
    DATEV-RECHNUNG@DATEV.DE
    e-invoice@datev.de
    dduvmail01@datev.de

    Achten Sie hier unbedingt darauf, dass innerhalb der Absenderadressen keine Rechtschreibfehler eingebaut sind. Betrüger könnten mit einer abgewandelten E-Mail-Adresse wie beispielsweise datev-rechnung@smarttransfer.datef.de arbeiten.

    Wenn eine Absender-Adresse nicht mit den beiden oben genannten Adressen übereinstimmt, kann davon ausgegangen werden, dass man es mit einer Fälschung zu tun hat. Prüfen Sie jedoch auch im Falle einer vertrauenswürdigen Adresse, ob die Anfrage eine erwartete Rechnung darstellt.
  • Verdächtiger Hyperlink: Rechnungen von DATEV enthalten aktuell keine Schaltfläche mit der Aufschrift „Rechnung anzeigen“. Mit einem Mouse-Over lässt sich außerdem prüfen, ob ein angezeigter Link tatsächlich auf eine legitime DATEV-Adresse führt. Grundsätzlich raten wir jedoch dazu, auf keinen Fall auf verdächtige Links zu klicken und Ihre Kolleginnen und Kollegen darüber zu informieren, solche E-Mails besonders kritisch zu prüfen. Falls doch bereits auf einen Link geklickt wurde, empfehlen wir, sich direkt an Ihren zuständigen IT-Beauftragten zu wenden.

Dies sind einige Merkmale für einen typischen E-Mail-Phishing-Angriff, welche auch in abgewandelter Form auftreten können. Wie Sie Social Engineering als solches erkennen und abwehren können, erfahren Sie im Bereich  Umgang mit Social Engineering unter E-Mail-Phishing.

Juli 2025: Betrugsversuche durch Lookalike-Domänen

Aktuell treten Betrugsversuche mit sogenannten Lookalike-Domänen auf. Wir wurden auf mehrere Lookalike-Domänen der Steuerberaterplattform aufmerksam, welche der echten Website-Adresse der Steuerberaterplattform täuschend ähnlich sahen. Sie unterschieden sich nur durch jeweils einen weggelassenen Buchstaben im Vergleich zur originalen URL. Mit derartigen Phishing-Webseiten sollen Besucher dazu verleitet werden, auf bestimmte Schaltflächen zu klicken oder sensible Daten einzugeben. Dadurch kann ein Phishing-Angriff durchgeführt oder Schadsoftware installiert werden. Beachten Sie daher bitte folgende Hinweise:

  • Prüfen Sie die URL sorgfältig:
    Achten Sie unbedingt darauf, korrekte URLs einzugeben.
    Verwenden Sie für die Steuerberaterplattform ausschließlich die offiziell von der Bundessteuerberaterkammer kommunizierten URLs:
    https://steuerberaterplattform-bstbk.de/ und
    https://www.bstbk-steuerberaterplattform.de/self-service/
  • Achten Sie auf Sicherheitsmerkmale:
    Legitime Webseiten müssen laut Datenschutz-Grundverordnung eine verschlüsselte Verbindung mittels HTTPS gewährleisten. Prüfen Sie, ob das Schloss-Symbol in der Adressleiste Ihres Browsers angezeigt wird und geschlossen ist.
  • Misstrauen Sie ungewöhnlichen Anfragen:
    Wenn Sie unerwartete Nachrichten oder Aufforderungen zum Eingeben persönlicher Daten erhalten: seien Sie skeptisch. Schützen Sie Ihre persönlichen Daten und prüfen Sie die Herkunft solcher Anfragen sorgfältig, bevor Sie handeln.
  • Informieren Sie uns über verdächtige Aktivitäten:
    Wenn Ihnen Webseiten auffallen, die offensichtlich einen Service im Geschäftsbereich von DATEV nachahmen, melden Sie dies bitte per E-Mail an: abuse@datev.de

Mehr zum Thema Social Enigneering erfahren Sie im Bereich Umgang mit Social Engineering.

Betrugsversuch mit einem OneDrive-Link

Mai 2025: Phishing-Versuche über bekannte Kontakte

DATEV wurden bereits mehrere Fälle gemeldet, in denen Mitglieder von persönlich bekannten Kanzleien E-Mails erhielten, die guten Glaubens geöffnet wurden. In den E-Mails wurde das Teilen eines Dokuments angeboten, das über OneDrive verfügbar sei. Beim Versuch, dieses Dokument über den enthaltenen Link zu öffnen, wurden die Zugangsdaten zum eigenen E-Mail-Konto, beziehungsweise zu Microsoft 365 abgefragt. Die dadurch „abgefischten“ Zugangsdaten wurden dann von den Angreifern verwendet, um E-Mails im Namen des betroffenen Kontoinhabers an die in dem Konto gespeicherten Kontakte zu senden und dabei die Phishing-E-Mail weiter zu verteilen. Um die Glaubwürdigkeit der versendeten E-Mails zu erhöhen, wurde eine automatische Antwort eingerichtet, in der die Richtigkeit der zuvor versendeten E-Mail scheinbar bestätigt wurde. Damit wurde selbst bei Nachfrage per E-Mail durch den immerhin skeptischen Empfänger ein Gefühl der Richtigkeit erzeugt. Es gibt jedoch drei Merkmale, die auf einen Phishing-Angriff hinweisen:

  • Unerwartete E-Mail: Wurde vom Absender eine E-Mail mit Dateianhang erwartet?
  • Legitime Abfrage der Anmeldeinformationen: Seien Sie skeptisch, wenn Ihre Anmeldeinformationen erfragt werden.
  • Erzeugen einer Drucksituation: Wie im Screenshot zu erkennen, wurde durch einen Link mit der Angabe eines Löschdatums Handlungsdruck erzeugt. Gegebenenfalls wird auch die Priorität als "hoch" eingestuft.

Dies ist ein typischer E-Mail-Phishing-Angriff, der jedoch auch in abgewandelter Form auftreten kann. Wie Sie diese Art von Social Enigneering als solche erkennen und abwehren können, erfahren Sie im Bereich Umgang mit Social Engineering unter E-Mail-Phishing.

Betrugsversuch mit einem Bestätigungs-Link für das DATEV-Konto

März 2025: Bestätigung von E-Mail-Adresse für DATEV-Konto

DATEV-Kunden erhalten aktuell Phishing-E-Mails, in denen sie aufgefordert werden, ihre E-Mail-Adresse über einen Link zu bestätigen, um sich bei DATEV zu registrieren. Es gibt zwei eindeutige Merkmale, die auf einen Phishing-Angriff hinweisen:

  • Falscher Absender: Der Absender infos@mail.tlservice.com ist keine offizielle DATEV-E-Mail-Adresse.
  • Verdächtiger Hyperlink: Der Link "Bestätigen" verweist auf eine Seite, die nicht der DATEV gehört. Klicken Sie auf keinen Fall auf diesen Link!

Dies ist ein typischer E-Mail-Phishing-Angriff, welcher auch in leicht abgewandelter Form auftreten kann. Wie Sie diese Art von Social Enigneering als solches erkennen und abwehren können, erfahren Sie im Bereich Umgang mit Social Engineering unter E-Mail-Phishing.

Betrugsversuch mit einem Link zu Rechnungsdaten online

März 2025: Fake zu DATEV Unternehmen online

DATEV-Kunden sind aktuell das Ziel einer E-Mail-Phishing-Kampagne. Dabei werden gefälschte E-Mails versendet, die täuschend echt aussehen sowie fehlerfreien Text aufweisen. Die Signatur sowie das Logo von DATEV werden verwendet. Es gibt jedoch zwei eindeutige Merkmale, die auf einen Phishing-Angriff hinweisen:

  • Falscher Absender: Der Absender noreply@mail.tlservice.com ist keine offizielle DATEV-E-Mail-Adresse.
  • Verdächtiger Hyperlink: Der Link "DATEV Rechnungsdaten online" verweist auf eine Seite, die nicht der DATEV gehört. Klicken Sie auf keinen Fall auf diesen Link!

Dies ist ein typischer E-Mail-Phishing-Angriff. Wie Sie diese Art von Social Enigneering als solches erkennen und abwehren können, erfahren Sie im Bereich Umgang mit Social Engineering unter E-Mail-Phishing.

September 2024: Recruiting-Anrufe

Mehrere Steuerkanzleien berichteten, dass sie Anrufe eines Unbekannten
erhielten, der vorgab, DATEV-Mitarbeiter zu sein. Er versuchte, Mitarbeiter
aus besagten Steuerkanzleien abzuwerben. Bei der Suche nach dessen
Namen konnte festgestellt werden, dass dieser Mitarbeiter bei DATEV nicht
existiert. Es gibt zwei eindeutige Merkmale, die auf einen Phishing-Angriff
hinweisen:

  • Falscher Name: Der Name, den der Unbekannte angegeben hatte,
    existierte bei DATEV nicht. Fragen Sie im Zweifel immer direkt bei DATEV nach.
  • Verdächtiges Anliegen: DATEV-Mitarbeiter würden niemals in Kanzleien
    anrufen und versuchen, dort Mitarbeiter abzuwerben.

Dies ist ein typischer Voice-Phishing-Versuch. Wie Sie diese Art von Social
Enigneering als solches erkennen und abwehren können, erfahren Sie im
Bereich Umgang mit Social Engineering unter Vishing.

Betrugsversuch mit PDF-Datei &#34;DATEV-Rechnung&#34;

Januar 2023: Rechnungsbetrug

Ein DATEV-Kunde erhielt eine gefälschte E-Mail, die so aussah, als würde sie von DATEV stammen. In der E-Mail wurde sich für eine frühere E-Mail entschuldigt. In dieser E-Mail soll eine Rechnung als PDF mitgeschickt worden sein, welche sich, den Angaben der Betrüger nach, nicht öffnen ließ. Der DATEV-Kunde wird dazu aufgefordert, das Rechnungs-PDF der neuen E-Mail herunterzuladen. Dies ist jedoch ein maliziöser Anhang, der dazu dient, Schadsoftware auf dem System des Opfers zu installieren. Es gibt zwei eindeutige Merkmale, die auf einen E-Mail-Phishing-Angriff hinweisen:

  • Manipulierter Text: Nach dem Wort "Achtung" fehlt zwischen dem Doppelpunkt und dem Wort "Laden" ein Leerzeichen. Kommunikation von DATEV ist seriös und enthält keine Rechtschreib- oder Grammatikfehler.
  • Handlungsaufforderung: Der DATEV-Kunde wird in der E-Mail dazu aufgefordert, auf einen Link zu klicken – in diesem Fall die Fake-Rechnung. Das ist verdächtig. Verifizieren Sie die Echtheit solcher Nachrichten im Zweifel immer über eine Rückfrage bei DATEV.

Dies ist ein typischer E-Mail-Phishing-Angriff. Wie Sie diese Art von Social Enigneering als solches erkennen und abwehren können, erfahren Sie im Bereich Umgang mit Social Engineering unter E-Mail-Phishing.

Betrugsversuch mit einem Link zu Unternehmen online

September 2022: Fake zu DATEV Unternehmen online

DATEV-Kunden als auch Personen, die keine Kunden bei DATEV sind, waren im September 2022 verstärkt Ziel eines E-Mail-Phishing-Angriffs. Besonders für Laien war dieser Betrugsversuch schwer als solcher zu erkennen. Der folgende Screenshot zeigt ein Beispiel, in dem die E-Mail-Adresse noreply@uploadmail.datev.de verwendet wurde. Es gibt zwei eindeutige Merkmale, die auf einen Phishing-Angriff hinweisen:

  • Manipulierter Text: Im Text der E-Mail wurde das Wort "Rechnung" mit dem Dateianhang "pdf" kombiniert – jedoch fehlt der Punkt zur Trennung des Namens von der Dateiendung.
  • Verdächtiger Hyperlink: Ein Hyperlink ist hinterlegt, der auf eine untypische Adresse verweist. Er führt zu keiner bekannten DATEV-Domäne und fällt geübten Nutzern auf.

Dies ist ein typischer E-Mail-Phishing-Angriff. Wie Sie diese Art von Social Enigneering als solches erkennen und abwehren können, erfahren Sie im Bereich Umgang mit Social Engineering unter E-Mail-Phishing.

Betrugsversuch unter Verwendung eines bestehenden E-Mail-Betreffs

Oktober 2021: Thread Hijacking

Im Oktober 2021 kam es zu einem E-Mail-Phishing-Angriff durch Cyberkriminelle. Dabei nutzten Betrüger das sogenannte "Thread Hijacking", um schädliche Software wie SquirrelWaffle und QakBot zu verbreiten. Diese Methode verwendet bestehende E-Mail-Konversationen, um Spamfilter zu umgehen und Empfänger dazu zu bringen, schädliche Links oder Anhänge zu öffnen. Die betrügerischen E-Mails schienen auf bereits geführte E-Mail-Konversationen zu antworten. Sie enthielten zwei Links in nummerierter Aufzählung, die nicht anklickbar waren. Wenn man aus Neugierde den Link kopierte und im Browser eingab, führten sie zu gehackten Websites. Es gibt zwei eindeutige Merkmale, die auf einen Phishing-Angriff hinweisen:

  • Rechtschreibung und Grammatik: Manche Umlaute und Zeilenumbrüche wurden nicht korrekt angezeigt und erschienen als Fragezeichen.
  • Künstliche Dringlichkeit: Vor den Links war eine Floskel platziert, die zum Anklicken animierte.

Dies ist ein typischer E-Mail-Phishing-Angriff. Wie Sie diese Art von Social Enigneering als solches erkennen und abwehren können, erfahren Sie im Bereich Umgang mit Social Engineering unter E-Mail-Phishing.

Betrugsversuch mit einer Stellenanzeige

April 2021: Stelleninserate über ebay Kleinanzeigen

Im April 2021 beantwortete ein Betrüger Stelleninserate und gab sich als DATEV-Mitarbeiter aus. Von Interessenten wurden Name, E-Mail-Adresse, Nationalität sowie Fotografien des Personalausweises zu Identifikationszwecken verlangt. Es gibt drei eindeutige Merkmale, die auf einen Betrug hinweisen:

  • WhatsApp als Kommunikationskanal: Interessenten wurden dazu gedrängt, ihre Dokumente für eine schnellere Bearbeitung über WhatsApp einzusenden.
  • ebay Kleinanzeigen Stelleninserate: DATEV antwortet nicht auf Stelleninserate über ebay Kleinanzeigen.
  • Keine DATEV-E-Mail-Adresse: Die angegebene E-Mail-Adresse "info@datev-ag.de" ist keine offizielle DATEV-E-Mail-Adresse. Der Betrüger hatte sich eine spezielle Domain registriert.

Wie Sie Social Engineering als solches erkennen und abwehren können, erfahren Sie im Bereich Umgang mit Social Engineering.