Betrugsversuche im DATEV-Kontext

Aktuell werden uns vermehrt Phishing-E-Mails gemeldet, in denen angeblich offene Rechnungen von DATEV für das aktuelle Quartal erwähnt werden. Die E-Mails erwecken optisch den Eindruck offizieller DATEV-Kommunikation und enthalten eine Übersicht mehrerer Rechnungen inklusive Rechnungsnummern, Datumsangaben und eines angeblichen Gesamtbetrags von 48.900 Euro. Betroffen sind insbesondere Steuerkanzleien und Unternehmen. In den vorliegenden Fällen wird in der E-Mail darauf hingewiesen, dass mehrere Rechnungen mit offenem Status festgestellt worden seien. Zur weiteren Einsicht und Verarbeitung wird ein „vollständiger Bericht“ zum Download angeboten. Über eine Schaltfläche namens „Bericht herunterladen“ wird zum Klicken aufgefordert. Beim Anklicken des Download-Links kann eine schädliche Datei heruntergeladen werden oder der Zugriff auf eine manipulierte Webseite erfolgen. Ziel solcher Angriffe ist es, Schadsoftware auf den Systemen der Empfänger zu installieren oder Zugangsdaten abzugreifen. 

Bitte seien Sie bei entsprechenden E-Mails daher besonders aufmerksam. 

Woran Sie den Betrugsversuch erkennen können: 

• Unerwartete Rechnungsinformationen: Sie erhalten eine E-Mail zu angeblich offenen DATEV-Rechnungen, obwohl Ihnen keine offenen Posten bekannt sind oder Sie diese Kommunikation nicht erwarten. 
• Download-Aufforderung: Die E-Mail enthält eine Schaltfläche oder einen Link, über den ein Bericht, eine Rechnung oder eine Übersicht heruntergeladen werden soll. 
• Verdächtige Absenderadresse: Die angezeigte Absenderadresse ist keine valide DATEV-E-Mail-Adresse. Auch wenn der Absendername „DATEV“ enthält, kann es sich um E-Mail-Spoofing handeln. 
• Unklare oder generische Ansprache: Die E-Mail ist häufig allgemein formuliert und nennt keine konkreten vertraglichen oder abrechnungstechnischen Bezüge. Meist fehlt die Beraternummer oder eine falsche wird angegeben. 
• Abweichende Links: Die Zieladresse des Download-Links verweist beim Mouseover nicht auf eine bekannte DATEV-Domäne (datev.de), sondern auf externe oder unbekannte Domänen. 

Unsere Empfehlungen: 

• Öffnen Sie Rechnungen, Berichte oder Abrechnungsinformationen von DATEV niemals über Links in E-Mails. 
• Greifen Sie auf DATEV-Programme und -Portale ausschließlich über bekannte Lesezeichen oder manuell eingegebene Adressen zu. 
• Öffnen oder speichern Sie keine Dateien aus verdächtigen E-Mails. 
• Geben Sie keine Zugangsdaten, Passwörter oder Authentifizierungscodes weiter. DATEV fordert solche Informationen weder per E-Mail noch über Download-Links an. 
• Falls Sie einen Link geöffnet oder einen Anhang ausgeführt haben: Wenden Sie sich bitte umgehend an Ihre IT-Ansprechpartnerin bzw. Ihren IT-Ansprechpartner. 

Dies ist ein typischer E-Mail-Phishing-Angriff, der auch in abgewandelter Form auftreten kann. Wie Sie diese Art von Social Engineering als solche erkennen und abwehren können, erfahren Sie im Bereich  Umgang mit Social Engineering unter  E-Mail-Phishing.

Aktuell erreichen uns vermehrt Hinweise auf verdächtige Anrufe, bei denen sich Anrufende als Mitarbeitende von DATEV ausgeben. Betroffen sind vor allem Steuerkanzleien. In den gemeldeten Fällen behaupten die Anrufenden beispielsweise, ein offenes Service-Anliegen oder Ticket bearbeiten zu wollen. Teilweise fragen sie gezielt nach bestimmten Mitarbeitenden, deren Namen ihnen bereits bekannt sind oder versuchen, Durchwahlen und weitere Kontaktdaten zu erfragen. Mehrfach wurde zudem von Gesprächen in englischer Sprache oder in schwer verständlichem Deutsch berichtet. In einzelnen Fällen wurde das Gespräch beendet, sobald Rückfragen gestellt oder eine Weiterleitung angekündigt wurde. 

Bitte seien Sie bei solchen Anrufen besonders aufmerksam. 

Mögliche Warnsignale: 

• Die anrufende Person gibt an, von DATEV zu sein, kann ihr Anliegen jedoch nicht klar und nachvollziehbar erläutern. 
• Es wird auf angeblich offene Tickets, frühere Vorgänge oder Servicekontakte verwiesen, die Ihnen nicht bekannt sind. 
• Es werden gezielt Namen, direkte Durchwahlen oder weitere Kontaktdaten von Mitarbeitenden abgefragt. 
• Die Gesprächsführung wirkt drängend, unklar oder widersprüchlich und findet möglicherweise in gebrochenem Deutsch oder auf Englisch statt. 

Unsere Empfehlungen: 

• Die angezeigte Telefonnummer erscheint zwar plausibel, reicht für sich allein aber nicht als Echtheitsnachweis aus. 
• Geben Sie am Telefon keine sensiblen Informationen (Zugangsdaten, Passwörter, Authentifizierungscodes), interne Kontaktdaten oder personenbezogene Daten weiter. DATEV, Banken und Behörden fordern niemals per E-Mail oder Telefon Passwörter, vollständige TAN-Listen oder vergleichbare Zugangsdaten an. 
• Nennen Sie keine Durchwahlen und leiten Sie Anrufe nicht ungeprüft weiter. 
• Beenden Sie verdächtige Gespräche im Zweifel sofort. 
• Wenn Sie unsicher sind, kontaktieren Sie DATEV über die Ihnen bekannten offiziellen Kontaktwege. 

Derartige Anrufe können ein Versuch des sogenannten Voice-Phishings (Vishing) sein. Ziel solcher Anrufe ist es häufig, Informationen über Ansprechpartner, Zuständigkeiten, Erreichbarkeiten oder interne Abläufe zu gewinnen, um Social-Engineering-Angriffe durchzuführen oder vorzubereiten. Weitere Informationen finden Sie unter Umgang mit Social Engineering. 

Aktuell kursieren Spear-Phishing-E-Mails mit dem Betreff "Rechnung Nr.:“ und einer gefälschten 11-stelligen Rechnungsnummer. Das Layout der E-Mail kann variieren, die zentrale Botschaft bleibt erhalten: „Ihre DATEV-Rechnung steht zum Download bereit“

Mit Klick auf die Schaltfläche mit der Aufschrift „Rechnung öffnen“ wird eine Datei namens „datev-rechnung.lnk“ heruntergeladen. Es öffnet sich dann eine gefälschte PDF-Rechnung. Zusätzlich wird im Hintergrund unbemerkt Schadsoftware auf dem Rechner installiert. Diese kann weitere schädliche Programme nachladen und Zugangsdaten ausspähen oder eine Verschlüsselungssoftware (Ransomware) starten.  

Woran Sie den Betrugsversuch erkennen: 

• Inhalt der E-Mail: Aktuell befindet sich innerhalb der Phishing-E-Mails ein Hinweis, dass anbei die „DATEV-Rechnung Nr. 2********** (Kundennummer #*******)“ zu finden sei. Der Inhalt der Phishing-E-Mails kann jedoch variieren.  
• Verdächtiger Hyperlink: Per Mouseover können Sie die Zieladresse eines Links kontrollieren. Weicht die angezeigte URL von bekannten DATEV-Domänen (datev.de) ab, klicken Sie auf keinen Fall darauf. Im aktuellen Fall wird bei einem Mouseover der dropbox-Link „dl.dropboxusercontent.com/scl/fi/------------l/DATEV-Rechnung-Nr.-381082026-pdf.zip?rlkey=zmasp---------ygo“ angezeigt. Dieser ist in vielen Fällen personalisiert und kann variieren. Bei einem Klick auf den Link eine Datei namens „datev-rechnung.lnk“ heruntergeladen. In Windows 11 wird die Dateiendung „.lnk“ grundsätzlich ausgeblendet, selbst wenn der Nutzer systemweit die Anzeige von Dateiendungen aktiviert hat. Dadurch wirkt die Datei auf viele Nutzer wie eine „normale Dokumentdatei“. Dieser UI-Effekt wird gezielt ausgenutzt.  
  Falls bereits geklickt wurde, empfehlen wir, sich direkt an Ihren zuständigen IT-Beauftragten zu wenden. 
• Misstrauen Sie ungewöhnlichen Anfragen: Wenn Sie unerwartete Rechnungen oder Aufforderungen zur Eingabe persönlicher Daten erhalten, seien Sie skeptisch. Schützen Sie Ihre persönlichen Daten und prüfen Sie die Herkunft solcher Anfragen sorgfältig, bevor Sie handeln. Öffnen Sie DATEV-Programme und -Portale nie über E-Mail-Links, sondern ausschließlich über bekannte Lesezeichen oder geben Sie die Adresse manuell ein. 
• Absenderadresse: Als Absenderadresse wird keine valide DATEV-E-Mail-Adresse verwendet. Betrüger können E-Mails jedoch so aussehen lassen, als kämen sie von DATEV (E-Mail-Spoofing). Seien Sie daher besonders aufmerksam. 

Das ist ein typischer Spear-Phishing-Angriff, der auch in abgewandelter Form auftreten kann. Wie Sie diese Art von Social Engineering als solche erkennen und abwehren können, erfahren Sie im Bereich  Umgang mit Social Engineering unter  E-Mail-Phishing.