Warnung vom "Telekom Sicherheitsteam"

Hallo,
per Brief trudelte eine Warnung vom Telekom Sicherheitsteam ein, man habe Anlass zu vermuten, dass ein oder mehrere Endgeräte im Netzwerk mit einer Schadsoftware infiziert seien - Nähere steht in einer an *@t-online.de geschickten E-Mail.
Der Kunde hat keine solche E-Mail-Adresse, also habe ich ihm eine zum Anschluss eingerichtet und dann folgende Mails lesen dürfen:

Wir haben Hinweise erhalten, dass ein oder mehrere Endgeräte in Ihrem Netzwerk mit Schadsoftware (z.B. Viren) infiziert sind. Diese Malware könnte versuchen, sich weiter im Internet zu verbreiten bzw. ein Eindringen in Ihr Heimnetzwerk für eine Fremdnutzung vorzubereiten.

Die folgende IP-Adresse war Ihrem Anschluss an dem genannten Zeitpunkt zugeordnet:
IP-Adresse: xx.204.161.89
Zeitpunkt: 02.06.2021 19:22:06 MESZ
Infektion: wannacry

Zweite E-Mail:
Von Hinweisgebern haben wir Informationen erhalten, dass über Ihren Internetzugang unerwünschte Zugriffe auf fremde Computer / Systeme erfolgt sind, besser bekannt als Hacking.

Die folgende IP-Adresse war Ihrem Anschluss an dem genannten Zeitpunkt zugeordnet:
IP-Adresse: xx.204.162.49
Zeitpunkt: 04.06.2021 06:31:37 MESZ

Fakt ist: Brief und E-Mails sind authentisch. Zu den genannten Zeitpunkten gab es neben ca. 20 eigenen Clients 100 bis 200 Fremdnutzer am Anschluss.

Ich habe den Betreuer der EDV-Ausstattung kontaktiert, auf allen Rechnern ist Windows 10, Updates laufen automatisch durch, Defender ist aktiv. Es gibt auch Drucker und ein NAS, aber kein „Smart-Home“-Spielzeugs.

Die Fragen:

Wie meint die Telekom, einen Virusbefall erkannt zu haben?
Was versteht die Telekom unter „Hacking“ und wie stellt man sich das „haben Hinweise erhalten“ vor?

(Am Anschluss laufen sieben interne Netze in eigenen VLANs. Schlimmstenfalls hat sich ein Virus innerhalb eines dieser Netze verbreitet - nicht mein Problem. Zu keinem Zeitpunkt hatte einer der Fremdnutzer Zugriff auf unser Netz.)

Ich zitiere mal aus Wikipedia:

Bereits am 12. Mai entdeckten Sicherheitsforscher bei ihren Analysen durch Zufall eine Art „Notausschalter(kill switch) , der eine weitere Infektion eindämmte.[14] Die Forscher fanden im Code der Schadsoftware einen Hinweis auf eine zu dem Zeitpunkt nicht registrierte Domain.[15] Einer der Forscher, Marcus Hutchins, registrierte die Domain, weil er sich davon weitere Erkenntnisse über den Kryptotrojaner versprach. Auf einem unter dieser Adresse betriebenen Server verzeichnete er sofort tausende Verbindungsversuche. Als das Schadprogramm auf diese Domain zugreifen konnte, stoppte es seine Weiterverbreitung.[16]

D.h. über den hinter dieser Domain steckenden Server konnte man mitschneiden wer ihn aufgrund einer Infektion kontaktierte. Dann bei T-Online nachgefragt, wer zum fraglichen Zeitpunkt diese zum Adressbereich von T-Online zuzuordnende Adresse hatte, und schon kannst Du einen Brief schreiben.

Die andere Geschichte kann ähnlich gelaufen sein. Jemand bemerkt, dass von einer Adresse aus immer wieder versucht wird, in sein Netz zu kommen, und geht davon aus, dass derjenige das nicht persönlich macht, sondern ein Rechner in seinem Netz über eine entsprechende Infektion als Sprungbrett für weitere Aktivitäten genutzt wird. Rest s.o.

Du bist der IT-Betreuer und hast deshalb die Post bekommen? Ruf doch einfach an bei der Telekom. Wenn die solche Briefe verschicken, was schon etwas merkwürdig klingt, dann sollten die auch eine Hotline dazu haben. Also nicht auf dem Brief erwähnt, sondern in den Vertragsunterlagen zum Anschluss. Falls der Brief ein Fake ist, dann wäre es eine darin genannte Nummer ebenso.
Hat denn der Kunde überhaupt was mit der Telekom zu tun? Telekom mit C oder mit K? Also Telecom oder Telekom? :wink:

Mist, vergessen zu schreiben.

Natürlich gibt es dazu eine Hotline. Antwort zum Virenverdacht: „Das wird an Hand typischer Verhaltensmuster durch unser System erkannt.“
Antwort zum „Hacken“: „Ich kann Ihnen nicht sagen, wie es zu solchen Hinweisen kommt.“

Bei Letzterem tippe auf jemanden, der eine Abuse-Meldung verschickt hat.
Beim Virenverdacht frage ich mich, wie engmaschig die eigentlich den Datenverkehr überwachen?

Die beiden Warnungen hinterlassen bei mir das sehr ungute Gefühl, überwacht zu werden.

Sie passen doch nur auf dich auf :slight_smile:

Doch. Zu jedem Anschluss gehört eine Tonnleinadresse. Der Kunde ruft sie vielleicht nicht ab, aber geben tut es die mit Sicherheit.

Alles Käse. Solche Briefe werden schon verschickt, wenn du einen Port 22 nach außen offen hast.

Die versuchen halt anhand von typischen Trafficmustern oder Zieladressen (C&C-Server) sowas wie eben Wannacry rauszufischen. Wie sehr man dem trauen kann, wirst du dir denken können. Sowas ist in einem Gastnetz immer ganz besonders spaßig.

Nett gemeint aber ist aus meiner Sicht eher schädlich. Die Menschen, die sowas kriegen sind das erste mal in Panik und wissen nicht, was sie tun sollen. Dann machen sie nichts und wahrscheinlich passiert auch nichts. Und schon beim zweiten Brief denkt jeder sofort, dass das eh nur wieder falscher Alarm ist.

Man sollte die Sache ruhig ernst nehmen.
Ich habe selbst für unseren Firmen Zugang einen solchen Brief bekommen.
Datum und Uhrzeit des Vorfalls deckten sich genau mit dem Anschluss eines alten Kunden-Rechners (mit XP) an unser Gastnetz. Er nutzt das Internet nicht und wollte nur einen Druckertreiber installiert haben. Das habe ich natürlich online gemacht.
Wer ahnt denn, dass der PC gleich wild um sich schießt.

1 Like

Ist das noch so, dass man automatisch "Zugangsnummer"@t-online.de bekommt?
Ein Relikt aus den 90ern, oder?

Immerhin konnte ich nach dem Einloggen ins Kundencenter zum Bereich E-Mail navigieren, dort wurde aber zuallererst verlangt, ich möge eine E-Mail-Adresse einrichten. Ich nehme an, dass Zugangsnummer@t-online.de „virtuell“ vorgehalten wird und eingehende E-Mails schon einmal sammelt, denn nach Einrichtung der individuellen Adresse (firmenname@t-online.de) wurden mir die „Sicherheitsteam“-E-Mails (wenige Tage alt) im dortigen Postfach angezeigt.

Die Zugangsnummer habe ich noch bis November 2018 gebraucht, um mich ins analoge DSL einwählen zu können, d.h. bis Umstellung auf IP-Netz.
Die existierte weiterhin, völlig unabhängig davon, daß ich mir eine mail-addy mit name@t-online. eingerichtet hatte.

Es ist halt völlig sinnlos, dass mir ein Netzbetreiber eine E-Mail-Adresse einrichtet und diese zur Kommunikation vermeintlich wichtiger Informationen benutzt. Zumal die Adresse bei einem kommerziellen Werbeheini (Ströer) gehostet wird und die komplette Kommunikation (auch Rechnungen) an info@firmenname.de ging.

Die Zugangsnummer ist weiterhin Teil der Authentifizierung bei der Einwahl (zusammen mit Anschlusskennung, „Mitbenutzer-Suffix“ und Kennwort). Diese Eingabe ist bei der Telekom an BNG Anschlüssen mit aktiviertem „Easy login“ jedoch nicht mehr nötig - dort erfolgt die Authentifizierung automatisch. Ein Router, der an Port 21 der Linecard 5 im DSLAM 1A9019/13 hängt wird an Hand einer Datenbank ins Internet gelassen, in der hinterlegt ist, welcher Vertrag zu welchem Port gehört. Das Einbremsen auf die gebuchte Geschwindigkeit erfolgt dann auch nicht mehr auf der „physikalischen Ebene“, also durch entsprechend Vorgaben beim Synchronisieren des DSL-Modems, sondern wird rein logisch auf Schicht 2 durchgeführt.