evolutio
Goto Top

E-Mail vom Telekomsicherheitsteam bzgl. Auffälligkeiten am Netzanschluss

Hallo,

ich habe Sonntagnacht eine E-Mail von der Telekom bzgl. Auffälligkeiten meines Netzanschlusses bekommen und konnte das nicht nachvollziehen.

Ich dachte auch erst, dass das Spam sei, aber die sieht doch echt aus, verlinkte Seiten und Header sehen gut aus!
Siehe auch hier: https://www.telekom.de/hilfe/internet-telefonie/sicherheit/sicherheitste ...

Wie dem auch sein, hier die E-Mail:
| Kundennummer: 2xxxxxxxx3
| Anschlussinhaber: Evolutio

Guten Tag Evolutio,

wir sind Ihre Ansprechpartner zum Thema Sicherheit von Telekom-Diensten.

Wir wenden uns heute an Sie, da es zu Ihrem Internet-Zugang Hinweise auf Missbrauch gibt. Möglicherweise wird eines Ihrer Internet-Geräte von Fremden ausgenutzt. Das ermöglicht unter Umständen einen Zugriff auf Ihre vertraulichen und persönlichen Daten bzw. gefährdet Ihre Endgeräte. Ein Schaden, den Sie sicher vermeiden wollen.

In der folgenden Übersicht sind die letzten Auffälligkeiten bei Ihnen und die Schritte, die wir ergriffen haben, aufgelistet:

Zeitpunkt	Beschreibung
27.09.2024 03:29:43	Unerwünschte Zugriffe über Ihren Internet-Zugang. Überprüfen Sie Ihre Endgeräte mit einer Schutz-Software. IP-Informationen: xx.xxx.xx.xx.
Bei Fragen erreichen Sie uns von Montag bis Samstag zwischen 8 Uhr und 22 Uhr unter der kostenfreien Rufnummer 0800 5544300. Halten Sie bitte hierzu die Ticket-Nummer aus dem Betreff und Ihre bei uns hinterlegte IBAN zur Identifizierung bereit.

Weitere Informationen erhalten Sie in unserem Sicherheitsteam Ratgeber unter https://www.telekom.de/hilfe/internet-telefonie/sicherheit/sicherheitsteam/ratgeber

Mit freundlichen Grüßen
Ihr Telekom Sicherheitsteam

Deutsche Telekom Security GmbH
Fraud & Abuse Management
Friedrich-Ebert-Allee 71 - 77, 53113 Bonn

Eine interessante Informationen zu der E-Mail:
- gegen die Uhrzeit +/- 10Min kam ich nach Hause, ggf. war es eines der Geräte die sich zu der Zeit ins Netz eingewählt haben?

Die erwähnte IP, ist meine aktuelle die ich von der Telekom hab zugewiesen bekommen.
Im Log vom Mikrotik ist auch nichts auffälliges zu finden.

Ich konnte jetzt im nachhinein bzw gestern auch nichts im Netzwerk feststellen. Konnte da jetzt auch nicht wirklich über Google finden was machen könnte bzw. soll.

Liebe Grüße

Content-ID: 668470

Url: https://administrator.de/contentid/668470

Printed on: October 15, 2024 at 07:10 o'clock

Snuffchen
Snuffchen Sep 30, 2024 at 10:00:47 (UTC)
Goto Top
Hast du dir schon mal den Mailheader angeschaut, ggf. ist ja dort schon ersichtlich das die Nachricht NICHT von der Telekom kommt. Ich finde Sie erstmal ein wenig suspekt und würde keine der Links anklicken
Looser27
Looser27 Sep 30, 2024 at 10:01:42 (UTC)
Goto Top
Moin,

Halten Sie bitte hierzu die Ticket-Nummer aus dem Betreff und Ihre bei uns hinterlegte IBAN zur Identifizierung bereit.

Das ist ein perfider Versuch an Deine Bankdaten zu gelangen.
Phishing, next level quasi.....

Gruß

Looser
Evolutio
Evolutio Sep 30, 2024 at 10:07:47 (UTC)
Goto Top
Hallo,

@Snuffchen der Mailheader wirkt auf mich richtig und in Ordnung.

@Looser27 Das könnte sein, ja. Aber in dem Fall wirkt es doch unglaublich seriös:
https://www.telekom.de/hilfe/internet-telefonie/sicherheit/sicherheitste ...

dort ist auch die E-Mail (von der die Mail kam und im Header steht) verlinkt als auch die selbe Telefonnummer aus der E-Mail.

Ich werde da also mal anrufen und nachfragen.

Liebe Grüße
Der-Phil
Der-Phil Sep 30, 2024 at 10:23:41 (UTC)
Goto Top
Leider identifiziert die DTAG inzwischen wirklich gerne mit den letzten Ziffern der IBAN...
LordGurke
LordGurke Sep 30, 2024 at 10:41:43 (UTC)
Goto Top
a) Die Telekom verschickt wirklich solche Mails, wenn sie Abuse-Meldungen erhalten
b) Der Kundenservice identifiziert wirklich zusätzlich über die letzten Stellen der IBAN
c) Du kannst über die Telekom-Seite ins Kundencenter, dort sollte die Meldung ebenfalls abrufbar sein

Jedenfalls würde ich davon ausgehen, dass die Mail echt ist und tatsächlich irgendwas stattgefunden hat.
Was jetzt genau der "unerwünschte Zugriff" ist, müsste der Beschwerdeführer erklären.
Beim Einbuchen ins WLAN versuchen sich ja alle möglichen Apps erstmal, sich mit ihrem zugehörigen Dienst zu verbinden.
Verwendest du sowas wie Nextcloud, einen eigenen Mailserver, irgendwas, was nicht von einem "großen" Cloud-Dienst kommt? Hier ist die Chance groß, dass Verbindungsversuche eventuell misinterpretiert wurden und eine automatische Abuse-Meldung an die Telekom ging.
kpunkt
kpunkt Sep 30, 2024 at 10:49:03 (UTC)
Goto Top
IMHO gehts da um Abuse, also extrem hohen Traffic über den Anschluss.
Evolutio
Solution Evolutio Sep 30, 2024 at 10:51:18 (UTC)
Goto Top
Wie schon bereits gesagt, war das tatsächlich eine automatische Meldung vom Telekom-System aus.

Ich habe da vorhin mal angerufen und gefragt, was es damit auf sich hat.
Da war einfach ein nicht autorisierter, wohlmöglich fehlgeschlagener Loginversuch aus dem europäischen Ausland auf dem Telekomkonto. Ich sollte vorsichtshalber einfach das Passwort ändern und das war's.

Ggf. die Magentamobil App könnte ich mir vorstellen, dass die das war.

Das Passwort verwende ich nirgend wo und ist zufällig generiert und steht in einer Keepassdatenbank.

Die E-Mail ließt sich dahingehend aber auch etwas anders.
Snuffchen
Snuffchen Sep 30, 2024 at 11:54:20 (UTC)
Goto Top
Die Firmen machen es einem nicht einfach, wenn die eigenen Mails schon sehr stark nach Phishing aussehen
Lochkartenstanzer
Lochkartenstanzer Sep 30, 2024 at 12:03:35 (UTC)
Goto Top
Zitat von @Looser27:

Moin,

Halten Sie bitte hierzu die Ticket-Nummer aus dem Betreff und Ihre bei uns hinterlegte IBAN zur Identifizierung bereit.

Das ist ein perfider Versuch an Deine Bankdaten zu gelangen.
Phishing, next level quasi.....

Nicht, wenn die Deine Daten schon haben. Dann ist es kein Phishing mehr. face-smile

Aber im Ernst, die Telekom fragt tatsächlich Teile der Kontonummer ab, um zu verifizieren, ob der richtige mit Ihnen spricht. Von daher grenzwertig, aber o.k. Aber sie Faragt nur nach der kompletten IBAN.

lks
Trinatrium
Trinatrium Sep 30, 2024 at 12:12:47 (UTC)
Goto Top
Du solltest die Telekom fragen, was genau detektiert wurde.

Diese Mails gibt es auch wirklich, früher sind sogar teilweise die Einwahlen beendet worden.
Evolutio
Evolutio Sep 30, 2024 updated at 12:19:29 (UTC)
Goto Top
@Lochkartenstanzer ich musste tatsächlich nur die Ticketnummer rübergeben, die IBAN oder Teile davon wollte die Person am anderen Ende nicht.

@Trinatrium, wie gesagt, irgendwas mit dem Telekom-Login.
Trinatrium
Trinatrium Sep 30, 2024 at 12:24:57 (UTC)
Goto Top
Ja, dann rufe doch da mal an und Frage was los ist. Hier geht es nicht weiter.

Selbst ein false positiv ist denkbar.
Evolutio
Evolutio Sep 30, 2024 at 12:29:38 (UTC)
Goto Top
Ich glaube wir verstehen uns falsch. Ich hatte wie gesagt angerufen und nachgefragt

Siehe mein vorheriges Kommentar:
Da war einfach ein nicht autorisierter, wohlmöglich fehlgeschlagener Loginversuch aus dem europäischen Ausland auf dem Telekomkonto. Ich sollte vorsichtshalber einfach das Passwort ändern und das war's.
kpunkt
kpunkt Sep 30, 2024 at 13:09:16 (UTC)
Goto Top
Setz die Frage auf gelöst.