Aus aktuellem Anlass möchten wir Sie vor den folgenden Betrugsversuchen im DATEV-Kontext warnen.

Februar 2026: Spear-Phishing-E-Mails mit gefälschten DATEV-Rechnungen

Aktuell kursieren Spear-Phishing-E-Mails mit dem Betreff „Rechnung Nr.:“ und einer gefälschten 11-stelligen Rechnungsnummer. Das Layout der E-Mail kann variieren, die zentrale Botschaft bleibt erhalten: „Ihre DATEV-Rechnung steht zum Download bereit“

Mit Klick auf die Schaltfläche mit der Aufschrift „Rechnung öffnen“ wird eine Datei namens „datev-rechnung.lnk“ heruntergeladen. Es öffnet sich dann eine gefälschte PDF-Rechnung. Zusätzlich wird im Hintergrund unbemerkt Schadsoftware auf dem Rechner installiert. Diese kann weitere schädliche Programme nachladen und Zugangsdaten ausspähen oder eine Verschlüsselungssoftware (Ransomware) starten.  

Woran Sie den Betrugsversuch erkennen: 

  • Inhalt der E-Mail: Aktuell befindet sich innerhalb der Phishing-E-Mails ein Hinweis, dass anbei die „DATEV-Rechnung Nr. 2********** (Kundennummer #*******)“ zu finden sei. Der Inhalt der Phishing-E-Mails kann jedoch variieren.  
  • Verdächtiger Hyperlink: Per Mouseover können Sie die Zieladresse eines Links kontrollieren. Weicht die angezeigte URL von bekannten DATEV-Domänen (datev.de) ab, klicken Sie auf keinen Fall darauf. Im aktuellen Fall wird bei einem Mouseover der dropbox-Link „dl.dropboxusercontent.com/scl/fi/————l/DATEV-Rechnung-Nr.-381082026-pdf.zip?rlkey=zmasp———ygo“ angezeigt. Dieser ist in vielen Fällen personalisiert und kann variieren. Bei einem Klick auf den Link eine Datei namens „datev-rechnung.lnk“ heruntergeladen. In Windows 11 wird die Dateiendung „.lnk“ grundsätzlich ausgeblendet, selbst wenn der Nutzer systemweit die Anzeige von Dateiendungen aktiviert hat. Dadurch wirkt die Datei auf viele Nutzer wie eine „normale Dokumentdatei“. Dieser UI-Effekt wird gezielt ausgenutzt.  
    Falls bereits geklickt wurde, empfehlen wir, sich direkt an Ihren zuständigen IT-Beauftragten zu wenden. 
  • Misstrauen Sie ungewöhnlichen Anfragen: Wenn Sie unerwartete Rechnungen oder Aufforderungen zur Eingabe persönlicher Daten erhalten, seien Sie skeptisch. Schützen Sie Ihre persönlichen Daten und prüfen Sie die Herkunft solcher Anfragen sorgfältig, bevor Sie handeln. Öffnen Sie DATEV-Programme und -Portale nie über E-Mail-Links, sondern ausschließlich über bekannte Lesezeichen oder geben Sie die Adresse manuell ein. 
  • Absenderadresse: Als Absenderadresse wird keine valide DATEV-E-Mail-Adresse verwendet. Betrüger können E-Mails jedoch so aussehen lassen, als kämen sie von DATEV (E-Mail-Spoofing). Seien Sie daher besonders aufmerksam. 

Das ist ein typischer Spear-Phishing-Angriff, der auch in abgewandelter Form auftreten kann. 

ACtuell:

Zur News-Übersicht >>>