Beantwoord

Echte melding van Abuse of toch phishing?

  • 20 May 2024
  • 31 reacties
  • 324 keer bekeken
M
Rank

Beste mensen, 

Ik beschik nog over een oud Worldonline mailadres, dat via de overname ooit door Tiscali ook een @tiscali.nl variant gekregen heeft. Uiteindelijk is alles via Telfort bij KPN terechtgekomen. 
Helaas is er in het verleden wel eens door een onbekende elders op internet spam verstuurd met deze adressen als afzender. 

De afgelopen week ontving ik 2x een e-mail melding van KPN, waarin staat dat een -niet door mij!- vanaf het @tiscali.nl mailadres verstuurde e-mail is geblokkeerd. Met het advies erbij eventueel contact op te nemen met het Abuse team van KPN.

Alles in de KPN e-mail wijst erop dat deze waarschuwingsmail afkomstig is van KPN, er zitten geen linkjes naar derden in. De bijlage (part_2.dat tekstbestand) heb ik geopend met Kladblok en geanalyseerd, Deze suggereert dat de oorspronkelijke aanbieder van het te versturen mailbericht (met mijn adres als afzender) een mij onbekende server/netwerk is in Scandinavië. 

Wat ik vreemd vind aan beide KPN waarschuwingsberichten die ik afgelopen week ontving is dat in de onderwerpregel niet alleen mijn @Tiscali.nl e-mailadres wordt genoemd, maar óók mijn e-mailwachtwoord bij KPN. Bij de 1e keer (begin van afgelopen week) is mijn mailaccount door KPN zelf geblokkeerd, ben ik per e-mail gewaarschuwd en heb ik een nieuw wachtwoord ingesteld via de KPN beheerpagina online (dat was dezelfde dag dat bij KPN de webmail tijdelijk algeheel verstoord was). Het waarschuwingsmailbericht van (ogenschijnlijk?) KPN dat ik vannacht ontving, bevat wederom in de onderwerpregel mijn wachtwoord, ditmaal het vernieuwde wachtwoord. 

Is bekend of KPN inderdaad waarschuwings-emails verstuurd, zonder rare links of phising erin, waarin jouw eigen wachtwoord in de onderwerp-regel daarin wordt vermeld? 

icon

Beste antwoord door Raymondt 21 May 2024, 12:48

Bekijk origineel

31 reacties

wjb
Rank
Reputatie 7

Inmiddels heb ik van een collega van jullie Abuse Team begrepen dat de waarschuwingsmail niet door KPN is verstuurd.

Waarschijnlijk bedoelt die medewerker van het Abuse-team dat die mail niet door het Abuse-team verstuurd is. Ik denk echter wel dat dit een heel normaal bounce-bericht betreft afkomstig van de mailserver van KPN.

Het aanpassen van het wachtwoord van jouw mailbox zal vast en zeker afdoende zijn om dit misbruik te stoppen.

KPN zou het mijns inziens makkelijker moeten maken om wachtwoorden te wijzigen. Nu is het zo dat alleen de contractant een wachtwoord kan wijzigen. Andere leden van het huishouden kunnen het wachtwoord van hun eigen emailaccount niet wijzigen zonder de contractant daarbij te betrekken. Dat is mijns inziens niet zoals het zou moeten zijn immers daardoor zien veel mensen af van het regelmatig wijzigen van het wachtwoord terwijl dat mijns inziens uit oogpunt van security wel gewenst is. Ik hoop dat een moderator dit nog eens aan wil kaarten.

Be positive, avoid negativity, enjoy life and stay healthy!
Raymondt
Rank
Reputatie 7
Badge +9

Waarschijnlijk bedoelt die medewerker van het Abuse-team dat die mail niet door het Abuse-team verstuurd is. Ik denk echter wel dat dit een heel normaal bounce-bericnt betreft afkomstig van de mailserver van KPN.

 

Dit denk ik dus ook. Een spammer heeft geprobeerd een mail vanaf jouw adres te versturen, en het spamfilter op de uitgaande mailserver heeft dat tegengehouden. Daar heb je een melding van gehad. Oftewel: de mail die de spammer gestuurd heeft is niet van KPN, de Bounce is dat wel.

Blij met een antwoord? Geef een like! Is een bericht het beste antwoord op je vraag? Markeer het dan als oplossing.
M
Rank

Waarschijnlijk bedoelt die medewerker van het Abuse-team dat die mail niet door het Abuse-team verstuurd is. Ik denk echter wel dat dit een heel normaal bounce-bericnt betreft afkomstig van de mailserver van KPN.

 

Dit denk ik dus ook. Een spammer heeft geprobeerd een mail vanaf jouw adres te versturen, en het spamfilter op de uitgaande mailserver heeft dat tegengehouden. Daar heb je een melding van gehad. Oftewel: de mail die de spammer gestuurd heeft is niet van KPN, de Bounce is dat wel.

 

Dank, dat is een verduidelijkende toevoeging. Zou dat betekenen dat de onderwerpregel van de Bounce door de spammer al zijn ingevuld inclusief mijn mailwachtwoord, en dat de Bounce die 1;1 afketst naar mij zonder de onderwerpregel aan te passen? Of zou de Bounce mijn mailwachtwoord erin gezet kunnen hebben, bijv. omdat de spammer een onveilige poort (25) zou hebben aangesproken bij de uitgaande KPN mailserver (suggestie van één van de forumleden gisteren)?  

WMG-N
Rank
Reputatie 7
Badge +10

@Mindbrother

Ik denk dat de spammer inderdaad poort 25 gebruikt heeft en dat was waarschijnlijk de reden of een extra reden was waarom de email ge-bounced werd.

Er was eerder dit jaar iemand op dit forum die nog poort 25 gebruikte en daarom per email van de KPN een waarschuwing kreeg dat hij geen email meer kon versturen na 1 mei (????) 2024 met poort 25.

Hoe dat wachtwoord nu in die “bounce email” terecht komt is voor mij ook een raadsel. Misschien heeft de spammer een slecht “spam-programma” gebruikt. Of de spammer is nog steeds bezig te leren hoe hij moet spammen.

Als het (opnieuw) veranderen van ALLE wachtwoorden de oplossing voor dit probleem is dan moet je gewoon niet al te veel zorgen meer maken over dit probleem. Gewoon doorgaan met ademhalen en met emailen.

Tevreden gebruiker van Outlook Express Classic ( https://www.oeclassic.com )
Raymondt
Rank
Reputatie 7
Badge +9

Hoi @WMG-N ,

Toch even naar jou toe ook:

 

Ik vrees dat jouw browser "geïnfecteerd” en/of “ge-hijacked” is. Of dat iemand zonder jouw toestemming een zogenaamde “keylogger” geïnstalleed hebt.

Nergens blijkt dat dit het geval zou zijn, en voor zover het te achterhalen is, is bovenstaande tegenwoordig in de meeste gevallen niet het geval. Het komt het eerder vanuit een phishingaanval of gelekte gegevens vanuit derde partijen.

 

Controleer jouw laptop op malware of infecties, met bijv. Malwarebytes of bijv. de Sophos antivirus scanner.

Alhoewel dit soort dingen nooit kwaad kunnen, blijkt momenteel uit niets dat dit noodzakelijk is. Het kost echter wel een hoop tijd.

 

Ik denk dat ik een deel van het probleem heb gevonden. Je gebruikt nog steeds SMTP poort 25

Waarop baseer je deze conclusie? Uit het feit dat de spammer dit in het onderwerp van zijn spam-mail gezet heeft?

 

Ik denk dat de spammer inderdaad poort 25 gebruikt heeft en dat was waarschijnlijk de reden of een extra reden was waarom de email ge-bounced werd.

Ook dit is totaal niet correct en niet relevant.

 

Mijn eerdere adviezen (zie hierboven) blijven gewoon waardevol en kunnen ook helpen.

Ik vrees het dus juist niet. We waarderen natuurlijk je wil om te helpen, maar mensen worden nu een beetje het bos ingestuurd met allerlei acties die meer onduidelijkheid zaaien en niet het probleem op gaan lossen.

Blij met een antwoord? Geef een like! Is een bericht het beste antwoord op je vraag? Markeer het dan als oplossing.
WMG-N
Rank
Reputatie 7
Badge +10

@Raymondt 

Duidelijk !!!!

Tevreden gebruiker van Outlook Express Classic ( https://www.oeclassic.com )

Reageer


De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Forumvoorwaarden