Beantwoord

Echte melding van Abuse of toch phishing?

  • 20 May 2024
  • 31 reacties
  • 324 keer bekeken

Beste mensen, 

Ik beschik nog over een oud Worldonline mailadres, dat via de overname ooit door Tiscali ook een @tiscali.nl variant gekregen heeft. Uiteindelijk is alles via Telfort bij KPN terechtgekomen. 
Helaas is er in het verleden wel eens door een onbekende elders op internet spam verstuurd met deze adressen als afzender. 

De afgelopen week ontving ik 2x een e-mail melding van KPN, waarin staat dat een -niet door mij!- vanaf het @tiscali.nl mailadres verstuurde e-mail is geblokkeerd. Met het advies erbij eventueel contact op te nemen met het Abuse team van KPN.

Alles in de KPN e-mail wijst erop dat deze waarschuwingsmail afkomstig is van KPN, er zitten geen linkjes naar derden in. De bijlage (part_2.dat tekstbestand) heb ik geopend met Kladblok en geanalyseerd, Deze suggereert dat de oorspronkelijke aanbieder van het te versturen mailbericht (met mijn adres als afzender) een mij onbekende server/netwerk is in Scandinavië. 

Wat ik vreemd vind aan beide KPN waarschuwingsberichten die ik afgelopen week ontving is dat in de onderwerpregel niet alleen mijn @Tiscali.nl e-mailadres wordt genoemd, maar óók mijn e-mailwachtwoord bij KPN. Bij de 1e keer (begin van afgelopen week) is mijn mailaccount door KPN zelf geblokkeerd, ben ik per e-mail gewaarschuwd en heb ik een nieuw wachtwoord ingesteld via de KPN beheerpagina online (dat was dezelfde dag dat bij KPN de webmail tijdelijk algeheel verstoord was). Het waarschuwingsmailbericht van (ogenschijnlijk?) KPN dat ik vannacht ontving, bevat wederom in de onderwerpregel mijn wachtwoord, ditmaal het vernieuwde wachtwoord. 

Is bekend of KPN inderdaad waarschuwings-emails verstuurd, zonder rare links of phising erin, waarin jouw eigen wachtwoord in de onderwerp-regel daarin wordt vermeld? 

icon

Beste antwoord door Raymondt 21 May 2024, 12:48

Bekijk origineel

31 reacties

KPN stuurt indien nodig inderdaad waarschuwingsmails, maar is altijd als volgt opgebouwd:

...@kpn.com , als er iets anders achter de @ staat is het niet van KPN @Mindbrother 

Kijk in MijnKPN welke mailaccounts en aliassen (door KPN adressen genoemd) er vermeld staan en of dat allemaal klopt. Niet meer gebruikte accounts en aliassen kun je verwijderen en voor de veiligheid je mailwachtwoord veranderen.

 

Reputatie 7

Wat ik vreemd vind aan beide KPN waarschuwingsberichten die ik afgelopen week ontving is dat in de onderwerpregel niet alleen mijn @Tiscali.nl e-mailadres wordt genoemd, maar óók mijn e-mailwachtwoord bij KPN.

Ik kan me nauwelijks voorstellen dat die email dan van KPN afkomstig is. KPN weet als het goed is niet eens wat jouw wachtwoord is en in ieder geval zal zij deze nooit (mogen) communiceren.

Wat is de afzender van dat waarschuwingsbericht?

Reputatie 7
Badge +10

@Mindbrother

Dat een emailadres “op straat komt te liggen” komt vaker voor. Maar dat een wachtwoord getoond wordt vind ik zeer ernstig. Ik vrees dat jouw browser "geïnfecteerd” en/of “ge-hijacked” is. Of dat iemand zonder jouw toestemming een zogenaamde “keylogger” geïnstalleed hebt. Of heb je jouw wachtwoord naar jouwzelf ge-emaild ?

Heb je recentelijk programma's geïnstalleerd of rare websites bezocht ? Controleer jouw laptop op malware of infecties, met bijv. Malwarebytes of bijv. de Sophos antivirus scanner. Verander ook ALLE KPN wachtwoorden, eerst van “MijnKPN” en daarna van elk KPN emailaccount dat je hebt. En kies STERKE wachtwoorden (een combinatie van cijfers, letters en één of meerdere andere tekens).

Email van de KPN komt vaak van het domein @kpn.com   De KPN afdeling “Abuse” is te bereiken op Abuse@kpn.com.

Is dat Worldonline emailadres een account of een email-alias ? Als dit een alias is kun je 1)) een nieuw @kpnmail.nl emailaccount aanmaken (met een nieuw wachtwoord) en 2)) vraag dan aan de KPN klantenservice (tel. 0800 - 0402 ) om dat worldonline emailadres te laten verplaatsen naar dat nieuwe emailaccount. Misschien helpt dat beter …………...

Gelukkig ben ik niet de enige die dit vreemd vindt en begin mij zorgen te maken. Dank voor de snelle reacties en tip!

Ik zal nog wat meer duiden omtrent die vermeende KPN e-mail. 

De onderwerpregel van de e-mail: 
Undeliverable: p****e@tiscali.nl;p***e@tiscali.nl;[*mijn-wachtwoord*];smtp.tiscali.nl;25;1;LOGIN 

De afzender van de e-mail: 
Postmaster <postmaster@kpnmail.nl> 

De inhoud van het mailbericht: 
Dit is een bericht van het mail systeem van KPN.
Uw bericht kan niet worden afgeleverd omdat het bericht door het KPN-spamfilter als virus, spam, phishing wordt gezien of is geblokkeerd.
Voor vragen kunt u contact opnemen met abuse@kpn.com
This is the mail system at KPN.
I'm sorry to have to inform you that your message could not be delivered because it contains virus, spam, phishing or is blocked.
For questions please contact abuse@kpn.com 

Een deel van de inhoud van de bijlage: 
X-Originating-IP: 88.129.167.135
Received: from h88-129-167-135.cust.bredband2.com (h88-129-167-135.cust.bredband2.com [88.129.167.135])
    by smtp.kpnmail.nl (Halon) with ESMTPSA
    id 2f423ee0-1623-11ef-a07c-005056abf0db;
    Sun, 19 May 2024 23:03:11 +0200 (CEST)
Date: Mon, 20 May 2024 00:03:12 +0300
From: p***e@tiscali.nl
Subject: =?UTF-8?B?cGVzaWVAdGlzY2FsaS5ubDtwZXNpZUB0aXNjYWxpLm5sO0h5cGVyY3ViZTEh?=
    =?UTF-8?B?O3NtdHAudGlzY2FsaS5ubDsyNTsxO0xPR0lO?=
To: c1@mx-server.org

 

En als antwoord op een aantal andere gestelde vragen het volgende. Ik heb recent geen vreemde of nieuwe programma's geïnstalleerd of merkwaardige websites bezocht. Mijn nieuwe e-mailwachtwoord is slechts een kleine week ‘oud’ en heb ik niet naar mijzelf of anderen gemaild. Omtrent de mailadressen (net nagekeken): het Worldonline.nl én Tiscali.nl mailadres zijn aliassen binnen een Telfort.nl mailadres. Alle drie de mailadressen hebben dezelfde ‘naam’ voor de @. 

Ik werk op 2 vaste computers en daarop werken geen anderen. Als er inderdaad een keylogger zonder dat te weten is geïnstalleerd, dan zal ik op een onbekende computer de wachtwoorden van eerst KPN en daarna de mailbox moeten veranderen, toch? Kan ik met Malwarebytes of bijv. de Sophos antivirus scanner zo een keylogger detecteren en/of ook verwijderen? 

Ik gebruik ook een iPad en een iPhone, daar heb ik geen speciale beveiliging op draaien (alleen toegangscode beveiliging), ben sowieso wel zeer terughoudend met het installeren van allerhande apps. Is daarop ook te traceren of daar een keylogger op staat of een lek aanwezig is? 

 

Reputatie 7

@Raymondt, Het kan toch niet waar zijn dat daar het wachtwoord getoond wordt?

Nu snap ik dat daar waarschijnlijk het wachtwoord getoond wordt dat door de cliënt opgegeven is voor het inloggen op de smtp server maar het zou mijns inziens nooit mogen gebeuren dat een ingegeven wachtwoord leesbaar teruggekoppeld wordt.

 

Overigens denk ik wel dat dit een legitiem bounce-mailbericht is afkomstig van de mailserver van KPN.

 

Wat overigens wel frappant is, is dat de origineel verzonden mail van een Zweeds IP adres afkomstig is en dat betekent waarschijnlijk wel dat jouw emailadres inclusief wachtwoord in handen is gekomen van hackers. Heb je al gekeken of jouw emailadres genoemd wordt op https://haveibeenpwned.com?

Reputatie 7
Badge +28

Hallo @Mindbrother ,

De afzender van de e-mail: 
Postmaster <postmaster@kpnmail.nl> 

 

KPN stuurt nooit e-mais met als afzender @kpnmail.nl 

 

For questions please contact abuse@kpn.com 

Ik had verwacht dat de afzender dit e-mailadres zou zijn. Dan was het goed geweest. Dat e-mailadres wordt gebruikt door het abuse-team van KPN.    

 

Reputatie 7

Noordzee schreef:

KPN stuurt nooit e-mais met als afzender @kpnmail.nl 

Jawel hoor, de mailserver (Postmaster) zelf stuurt mails met @kpnmail.nl als afzender.

 

@Raymondt, Het kan toch niet waar zijn dat daar het wachtwoord getoond wordt?

Nu snap ik dat daar waarschijnlijk het wachtwoord getoond wordt dat door de cliënt opgegeven is voor het inloggen op de smtp server maar het zou mijns inziens nooit mogen gebeuren dat een ingegeven wachtwoord leesbaar teruggekoppeld wordt.

 

Overigens denk ik wel dat dit een legitiem bounce-mailbericht is afkomstig van de mailserver van KPN.

 

Misschien goed om te vermelden dat ik Gmail gebruik om e-mail te lezen en beantwoorden. Op advies van de KPN-helpdesk gebruik ik daarvoor sinds enkele jaren de methode ‘e-mail bekijken uit andere accounts’ binnen Gmail om mijn KPN-mailbox te lezen (via pop). Het verzenden van mailberichten verloopt via een KPN-mailserver (smtp) zoals geadviseerd door KPN. Het Worldonline.nl mailadres gebruik ik daarbij actief (ontvangen én verzenden), het Tiscali.nl adres juist niet (alleen ontvangen). 

Reputatie 7

Wat overigens wel frappant is, is dat de origineel verzonden mail van een Zweeds IP adres afkomstig is en dat betekent waarschijnlijk wel dat jouw emailadres inclusief wachtwoord in handen is gekomen van hackers. Heb je al gekeken of jouw emailadres genoemd wordt op https://haveibeenpwned.com?

Reputatie 7
Badge +10

@Mindbrother 

Het lijkt er inderdaad op dat jouw computer geïnfecteerd is. Dus: draai de programmas van Malwarebytes , Sophos, McAfee of bijv. ESET.

Wachtwoorden:  nog maar weer eens veranderen. Is altijd een goed advies. Jammer maar helaas.

Treedt dit probleem alleen op als je een bijlage toevoegt bij een email ? Dan is de bijlage het probleem.

Je kunt inderdaad ook een mailtje naar Abuse sturen. leg de situatie uit (+ link naar dit topic) en vraag om advies. Misschien kunnen zij eens in de KPN administratie kijken en nog wat meer details geven waar je wat aan hebt ?

Ik vertrek morgenmiddag naar het buitenland en wil niet langer wachten. Ik ben Sophos aan het installeren om de computer te analyseren. Verder doe ik een factory-reset op de iPad om daar vanaf een wachtwoord-reset te doen op de KPN-omgeving en daarna de mailbox waarin die mailadressen zitten. 

Dank voor de snelle reactie iedereen, ik laat vanmiddag nog weten of dit allemaal is gelukt en wat er mogelijk naar boven is gekomen! 

 

Reputatie 7
Badge +10

@Mindbrother

De onderwerpregel van de e-mail: 
Undeliverable: p****e@tiscali.nl;p***e@tiscali.nl;[*mijn-wachtwoord*];smtp.tiscali.nl;25;1;LOGIN 

Ik denk dat ik een deel van het probleem heb gevonden. Je gebruikt nog steeds SMTP poort 25 en dan gebruik je geen encryptie bij het versturen van email. En dat vindt de KPN sinds kort “niet leuk”. Dan kun je geen email meer versturen. Je moet daarom poort 467 of 587 gebruiken bij de SMTP server en dan ook TLS of SSL als encryptie kiezen. En kijk of je nu wel email kunt versturen zonder foutmelding.

https://www.kpn.com/service/ugs/instellen-e-mail-laptop-pc

Reputatie 7

@WMG-N, Ik denk dat dat er niet mee te maken heeft gezien de reden die door de postmaster aangegeven wordt voor het niet verzenden van die mail.

Reputatie 7
Badge +10

@wjb 

Ik schreef ook “een deel van het probleem”.

@Mindbrother

De onderwerpregel van de e-mail: 
Undeliverable: p****e@tiscali.nl;p***e@tiscali.nl;[*mijn-wachtwoord*];smtp.tiscali.nl;25;1;LOGIN 

Ik denk dat ik een deel van het probleem heb gevonden. Je gebruikt nog steeds SMTP poort 25 en dan gebruik je geen encryptie bij het versturen van email. En dat vindt de KPN “niet leuk”. Dan kun je geen email meer versturen. Je moet daarom poort 467 of 587 gebruiken bij de SMTP server en dan ook TLS of SSL als encryptie kiezen.

 

Dank voor je reactie!

Ik heb in Gmail e.e.a. nageslagen en daar wordt poort 25 niet door mij gebruikt voor het verzenden van enige e-mail vanuit Gmail via een KPN server. Er stond wel een Xs4all server ingevuld met een TLS of SSL encryptie. Voor de zekerheid heb ik de KPN instellingen opnieuw ingevoerd zoals door jou aangegeven. 

Zou die poort 25 genoemd kunnen worden door de ‘illegale’ afzender van het e-mailbericht? En dat de KPN server dat detecteert als ‘niet leuk’ en dan deze afketst en mij daarover als ‘legale’ eigenaar van het Tiscali.nl mailadres informeert, met daarbij mijn mailadres én wachtwoord noemend? 

Noordzee schreef:

KPN stuurt nooit e-mais met als afzender @kpnmail.nl 

Jawel hoor, de mailserver (Postmaster) zelf stuurt mails met @kpnmail.nl als afzender.

 

Inderdaad @Noordzee en @wjb ik heb net zelf ook een mail verstuurd naar een onbekend adres en kreeg een soortgelijke mail retour, dus dat postmaster@kpnmail.nl klopt, maar wel vreemd, je zou ook verwachten dat dat een .com-adres is.

Reputatie 7

dus dat postmaster@kpnmail.nl klopt, maar wel vreemd, je zou ook verwachten dat dat een .com-adres is.

Nee, het is heel normaal dat de postmaster van een mailserver het primaire domein heeft dat door die mailserver afgewikkeld wordt en dat is in dit geval dus @kpnmail.nl. Het domein @kpn.com wordt niet door deze mailserver afgewikkeld.

Reputatie 7
Badge +10

@Mindbrother

Inderdaad, heel goed mogelijk. Heb je niet ergens een “Forward” ingesteld ? Dat maakt de situatie ook een stuk moeilijker.

Kijk ook eens in “MijnKPN” of daar emailadressen/-accounts staan die niet bij jou bekend zijn.

Stuur een email naar abuse@kpn.com, leg de situatie uit, leg uit hoe jij email verstuurt (GMail, tiscali etc. ) + een link naar dit topic en stuur één of meerdere emails met die foutmelding(en) als bijlage mee. “Abuse” is in staat om in de emaillogs van de KPN emailservers te kijken om te zien wat er aan de hand is en kunnen hopelijk een advies geven. (@Raymondt (genoemd hierboven) werkt ook op die KPN afdeling.)

Mijn eerdere adviezen (zie hierboven) blijven gewoon waardevol en kunnen ook helpen. Maar ik weet het nu ook niet meer. Heeft iemand anders nog suggesties ?

@Mindbrother

Inderdaad, heel goed mogelijk. Heb je niet ergens een “Forward” ingesteld ? Dat maakt de situatie ook een stuk moeilijker.

Kijk ook eens in “MijnKPN” of daar emailadressen/-accounts staan die niet bij jou bekend zijn.

Stuur een email naar abuse@kpn.com, leg de situatie uit, leg uit hoe jij email verstuurt (GMail, tiscali etc. ) + een link naar dit topic en stuur één of meerdere emails met die foutmelding(en) als bijlage mee. “Abuse” is in staat om in de emaillogs van de KPN emailservers te kijken om te zien wat er aan de hand is en kunnen hopelijk een advies geven. (@Raymondt (genoemd hierboven) werkt ook op die KPN afdeling.)

Mijn eerdere adviezen (zie hierboven) blijven gewoon waardevol en kunnen ook helpen. Maar ik weet het nu ook niet meer. Heeft iemand anders nog suggesties ?

 

Die mail naar het Abuse-team ga ik opstellen, voor de zekerheid om de loggings op de mailserver na te laten slaan. Dank voor je advies! 

Inmiddels heeft de iPad een factory-reset gehad, daarmee heb ik vervolgens ingelogd op de KPN omgeving, waar ik inmiddels ook de twee-staps-verificatie (SMS) voor inloggen eerder al had aangezet. Het e-mail account waaronder de Worldonline- en Tiscali-aliasen onder vallen heeft een nieuw wachtwoord gekregen. Via de iPad heb ik binnen Gmail dit nieuwe wachtwoord ingesteld om de mail op te kunnen halen bij KPN, en ook om mail te kunnen versturen via KPN. 

Ik heb de KPN webmail en bij Gmail alles nageslagen, er staan nergens ‘auto forwards’ ingesteld, zowel niet door mijzelf en gelukkig ook niet door iemand anders die wil ‘meelezen’. ;-) 

De Sophos scanner is al een tijdje bezig om de vaste computer te analyseren, heeft er al een paar honderdduizend bestanden opzitten en tot op heden zijn er geen nare zaken gedetecteerd. So far so good. 

 

 

Goed nieuws: de Sophos applicatie is een paar uur bezig geweest en heeft niets gevonden. 

Vanavond stel ik een bericht op naar het Abuse-team van KPN om de logboeken na te slaan. Het KPN-account heeft dus vanaf een geheel opgeschoonde iPad een extra beveiliging (2-staps verificatie bij inloggen) gekregen en en daarbinnen is het e-mailadres voorzien van een nieuw wachtwoord. 

Ik laat nog weten wat KPN wel of niet heeft gevonden. Dank iedereen voor het meedenken! 

 

Reputatie 7

Heb je nu al een keer gekeken of jouw emailadres genoemd wordt op https://haveibeenpwned.com?

Sorry, dat had ik inderdaad gedaan, met zowel de Worldonline- als Tiscali-alias. 

Worldonline: 3 data breaches, no pastes
Tiscali: 2 data breaches, no pastes

Dit soort meldingen kunnen vooral van websites of webwinkels zijn, toch? 
Het wachtwoord dat ik tot vorige week voor mijn e-mail gebruikte, heb ik nooit voor een webwinkel of elders gebruikt. Er was één uitzondering: inloggen in de service/beheerpagina van KPN. 

Reputatie 7
Badge +10

@Mindbrother

Mooi, dat is al één zorg minder.

Het is ook mogelijk dat jij zeer zorgvuldig omgaat met het invullen van jouw emailadres. Het emailadres is ook bekend bij jouw vrienden en dan kan jouw emailadres via jouw kennissen zijn uitgelekt zijn, omdat zij wel slordig waren. Of dat jouw email bij een bedrijf bekend is en dat dat bedrijf gehackt werd en daarmee veel emailadressen buit gemaakt werden door kwaadwillende mensen. Of dat iemand een virus had die de inhoud van het adresboek laat “uitlekken". Er zijn vele manieren om emailadressen buit te maken.

Er is een levendige handel in emailadressen op het internet. Emailadressen zijn te koop “per kilo” als je de juiste adresjes weet.

Maak bij “Abuse” ook melding van de “Poort 25" situatie.

Reputatie 7
Badge +9

Hoi @Mindbrother ,

Welkom op het forum! Ik kan er denk ik vrij kort over zijn: het wachtwoord van je Tiscali mailbox is op een of andere manier in handen van de verkeerde terecht gekomen. Het is belangrijk deze te wijzigen, waarmee het probleem opgelost zal zijn.

Beste Raymondt, duidelijk. Het mailadres-wachtwoord is inmiddels gewijzigd in de servicepagina van KPN, gebruikmakend van een geheel geresette/leeggemaakte iPad. De servicepagina van KPN heeft vanaf dat moment ook een tweestaps-verificatie gekregen om daarop te kunnen inloggen. 

Inmiddels heb ik van een collega van jullie Abuse Team begrepen dat de waarschuwingsmail niet door KPN is verstuurd. Ik ken de denkwereld van een hacker niet, want wat zou de reden zijn om mij te mailen met een nep KPN-bericht waarin wordt gemeld dat een mail niet kon worden verstuurd? In die mail wordt geen enkele phising-poging ondernomen of wordt er verwezen naar ‘dubieuze’ webpagina's waar ik zou trachten in te loggen ofzo. 

Reageer