Echte melding van Abuse of toch phishing?

KPN stuurt indien nodig inderdaad waarschuwingsmails, maar is altijd als volgt opgebouwd:

...@kpn.com , als er iets anders achter de @ staat is het niet van KPN @Mindbrother 

Kijk in MijnKPN welke mailaccounts en aliassen (door KPN adressen genoemd) er vermeld staan en of dat allemaal klopt. Niet meer gebruikte accounts en aliassen kun je verwijderen en voor de veiligheid je mailwachtwoord veranderen.

@Mindbrother

Dat een emailadres “op straat komt te liggen” komt vaker voor. Maar dat een wachtwoord getoond wordt vind ik zeer ernstig. Ik vrees dat jouw browser "geïnfecteerd” en/of “ge-hijacked” is. Of dat iemand zonder jouw toestemming een zogenaamde “keylogger” geïnstalleed hebt. Of heb je jouw wachtwoord naar jouwzelf ge-emaild ?

Heb je recentelijk programma's geïnstalleerd of rare websites bezocht ? Controleer jouw laptop op malware of infecties, met bijv. Malwarebytes of bijv. de Sophos antivirus scanner. Verander ook ALLE KPN wachtwoorden, eerst van “MijnKPN” en daarna van elk KPN emailaccount dat je hebt. En kies STERKE wachtwoorden (een combinatie van cijfers, letters en één of meerdere andere tekens).

Email van de KPN komt vaak van het domein @kpn.com   De KPN afdeling “Abuse” is te bereiken op Abuse@kpn.com.

Is dat Worldonline emailadres een account of een email-alias ? Als dit een alias is kun je 1)) een nieuw @kpnmail.nl emailaccount aanmaken (met een nieuw wachtwoord) en 2)) vraag dan aan de KPN klantenservice (tel. 0800 - 0402 ) om dat worldonline emailadres te laten verplaatsen naar dat nieuwe emailaccount. Misschien helpt dat beter …………...

@Raymondt, Het kan toch niet waar zijn dat daar het wachtwoord getoond wordt?

Nu snap ik dat daar waarschijnlijk het wachtwoord getoond wordt dat door de cliënt opgegeven is voor het inloggen op de smtp server maar het zou mijns inziens nooit mogen gebeuren dat een ingegeven wachtwoord leesbaar teruggekoppeld wordt.

Overigens denk ik wel dat dit een legitiem bounce-mailbericht is afkomstig van de mailserver van KPN.

Wat overigens wel frappant is, is dat de origineel verzonden mail van een Zweeds IP adres afkomstig is en dat betekent waarschijnlijk wel dat jouw emailadres inclusief wachtwoord in handen is gekomen van hackers. Heb je al gekeken of jouw emailadres genoemd wordt op https://haveibeenpwned.com?

Noordzee schreef:

KPN stuurt nooit e-mais met als afzender @kpnmail.nl 

Jawel hoor, de mailserver (Postmaster) zelf stuurt mails met @kpnmail.nl als afzender.

Wat overigens wel frappant is, is dat de origineel verzonden mail van een Zweeds IP adres afkomstig is en dat betekent waarschijnlijk wel dat jouw emailadres inclusief wachtwoord in handen is gekomen van hackers. Heb je al gekeken of jouw emailadres genoemd wordt op https://haveibeenpwned.com?

Ik vertrek morgenmiddag naar het buitenland en wil niet langer wachten. Ik ben Sophos aan het installeren om de computer te analyseren. Verder doe ik een factory-reset op de iPad om daar vanaf een wachtwoord-reset te doen op de KPN-omgeving en daarna de mailbox waarin die mailadressen zitten. 

Dank voor de snelle reactie iedereen, ik laat vanmiddag nog weten of dit allemaal is gelukt en wat er mogelijk naar boven is gekomen! 

@WMG-N, Ik denk dat dat er niet mee te maken heeft gezien de reden die door de postmaster aangegeven wordt voor het niet verzenden van die mail.

Dank voor je reactie!

Ik heb in Gmail e.e.a. nageslagen en daar wordt poort 25 niet door mij gebruikt voor het verzenden van enige e-mail vanuit Gmail via een KPN server. Er stond wel een Xs4all server ingevuld met een TLS of SSL encryptie. Voor de zekerheid heb ik de KPN instellingen opnieuw ingevoerd zoals door jou aangegeven. 

Zou die poort 25 genoemd kunnen worden door de ‘illegale’ afzender van het e-mailbericht? En dat de KPN server dat detecteert als ‘niet leuk’ en dan deze afketst en mij daarover als ‘legale’ eigenaar van het Tiscali.nl mailadres informeert, met daarbij mijn mailadres én wachtwoord noemend? 

Nee, het is heel normaal dat de postmaster van een mailserver het primaire domein heeft dat door die mailserver afgewikkeld wordt en dat is in dit geval dus @kpnmail.nl. Het domein @kpn.com wordt niet door deze mailserver afgewikkeld.

Die mail naar het Abuse-team ga ik opstellen, voor de zekerheid om de loggings op de mailserver na te laten slaan. Dank voor je advies! 

Inmiddels heeft de iPad een factory-reset gehad, daarmee heb ik vervolgens ingelogd op de KPN omgeving, waar ik inmiddels ook de twee-staps-verificatie (SMS) voor inloggen eerder al had aangezet. Het e-mail account waaronder de Worldonline- en Tiscali-aliasen onder vallen heeft een nieuw wachtwoord gekregen. Via de iPad heb ik binnen Gmail dit nieuwe wachtwoord ingesteld om de mail op te kunnen halen bij KPN, en ook om mail te kunnen versturen via KPN. 

Ik heb de KPN webmail en bij Gmail alles nageslagen, er staan nergens ‘auto forwards’ ingesteld, zowel niet door mijzelf en gelukkig ook niet door iemand anders die wil ‘meelezen’. ;-) 

De Sophos scanner is al een tijdje bezig om de vaste computer te analyseren, heeft er al een paar honderdduizend bestanden opzitten en tot op heden zijn er geen nare zaken gedetecteerd. So far so good. 

Heb je nu al een keer gekeken of jouw emailadres genoemd wordt op https://haveibeenpwned.com?

@Mindbrother

Mooi, dat is al één zorg minder.

Het is ook mogelijk dat jij zeer zorgvuldig omgaat met het invullen van jouw emailadres. Het emailadres is ook bekend bij jouw vrienden en dan kan jouw emailadres via jouw kennissen zijn uitgelekt zijn, omdat zij wel slordig waren. Of dat jouw email bij een bedrijf bekend is en dat dat bedrijf gehackt werd en daarmee veel emailadressen buit gemaakt werden door kwaadwillende mensen. Of dat iemand een virus had die de inhoud van het adresboek laat “uitlekken". Er zijn vele manieren om emailadressen buit te maken.

Er is een levendige handel in emailadressen op het internet. Emailadressen zijn te koop “per kilo” als je de juiste adresjes weet.

Maak bij “Abuse” ook melding van de “Poort 25" situatie.

Beste Raymondt, duidelijk. Het mailadres-wachtwoord is inmiddels gewijzigd in de servicepagina van KPN, gebruikmakend van een geheel geresette/leeggemaakte iPad. De servicepagina van KPN heeft vanaf dat moment ook een tweestaps-verificatie gekregen om daarop te kunnen inloggen. 

Inmiddels heb ik van een collega van jullie Abuse Team begrepen dat de waarschuwingsmail niet door KPN is verstuurd. Ik ken de denkwereld van een hacker niet, want wat zou de reden zijn om mij te mailen met een nep KPN-bericht waarin wordt gemeld dat een mail niet kon worden verstuurd? In die mail wordt geen enkele phising-poging ondernomen of wordt er verwezen naar ‘dubieuze’ webpagina's waar ik zou trachten in te loggen ofzo.