Gut gefälschte Emails der Deutschen Telekom im Umlauf

Zum Glück sind nicht alle älteren Menschen leichtgläubige Narren oder Technikneuländer. Deswegen erreichte mich heute morgen ein Anruf, ob ich da mal einen Blick drauf werfen könnte.

Gut gefälschte Emails der Deutschen Telekom im Umlauf

Hier erst einmal der Inhalt der Mail mit dem echten Link(*), also nicht drauf drücken:

„Sehr geehrter Kunde,

Ab dem 16. Oktober 2021 werden wir keine E-Mail-Adressen mehr unterstützen,
deren Kontaktinformationen noch nicht aktualisiert wurden.

Bitte besuchen Sie das Telekom Kundencenter <https://elpregon.net.ve/ws.php> für weitere Informationen.

Diese Aktion soll dazu beitragen, Missbrauch auf unseren Servern zu verhindern und Ihre Privatsphäre im Internet und mehr zu schützen.

Ein Bestätigungscode <https://elpregon.net.ve/ws.php> wird Ihnen innerhalb von 24 Stunden per E-Mail zugesandt, sobald dies abgeschlossen ist.

Freundliche Grüße,
Ihre Telekom“

*) In der normalen HTML Version war der Link natürlich nicht direkt zu sehen, weil ist ja als HTML gekommen …

Keine Rechtschreibfehler, alles in UTF-8 mit Umlauten(*). Jetzt mal der Header dazu:

Return-Path: <teldatenschutzen@t-online.de>
Received: from fwd79.dcpf.telekom.de ([10.223.144.105])
         by ehead21b02.aul.t-online.de with LMTP
         id KLbFJDtIaWGlcwAASjMwlQ
(envelope-from <teldatenschutzen@t-online.de>); Fri, 15 Oct 2021 11:22:03 +0200
Received: from spica40.aul.t-online.de ([172.20.102.122]) by fwd79.dcpf.telekom.de
         with esmtp id 1mbJIu-040aDA0; Fri, 15 Oct 2021 11:15:05 +0200
Received: from 35.178.149.175:9839 by cmpweb25.aul.t-online.de with HTTP/1.1 (Lisa V6-9-3-0.0 on API V5-37-0-0); Fri, 15 Oct 21 11:15:04 +0200
Received: from 172.20.102.138:41152 by spica40.aul.t-online.de:8080; Fri, 15 Oct 2021 11:15:04 +0200 (CEST)
Date: Fri, 15 Oct 2021 11:15:04 +0200 (CEST)
From: Telekom Logın <Noreply.>
<teldatenschutzen@t-online.de>kripo
Sender: Telekom Logın <Noreply.>
<teldatenschutzen@t-online.de>
Reply-To: Telekom Logın <Noreply.>
<teldatenschutzen@t-online.de>
To: „noreply@telekom.de“ <noreply@telekom.de>
Message-ID: <1634289304044.4922465.570724ce670bd12ae45b9b590bd6329927fd6b11@spica.telekom.de>
Subject: Mıtteılung Sıe Ihre Anmeldung

*) Umlaute in der Mail, aber nicht korrekt in den Headerfeldern, aber wer würde da als Empfänger schon drauf achten?

Auch wenn in der Email alles korrekt geschrieben wurde, ist gerade im Header der einzige Fehler der Scammer zu finden: „Mıtteılung Sıe Ihre Anmeldung“ ist natürlich Blödsinn. Auch die Emailadresse mit dem Schreibfehler ist offensichtlich: <teldatenschutzen@t-online.de>

Erschreckend ist, daß die Email nur interne Telekomsystem in den Received-Headern hat, von denen die letzten zwei auch gefälscht sein könnten, es aber wohl nicht sind. Nehmen wir das mal so wie es dort steht, dann wurde über irgendeine DTAG-API via HTTP diese Fake-Mail eingeliefert und an echte DTAG Kunden verschickt. Ich vermute ein WebMail oder gleich den „E-Mailcenter“ der DTAG selbst unter Zuhilfenahme von gehackten Zugangsdaten.

Ob das so war und ob 2FA helfen würde, könnte uns nur die DTAG beantworten, die ohne Twitter notorisch schwierig erreichbar ist.Was ist so schwer an einer Emaildresse für Security-Fragen?

Für Euch zu merken: IMMER Absender checken, LINKS checken und bei DTAG Mails steht immer der Anschluß und der Name des Kunden drin!

Hängt den Boten…!

Brian Krebs hat gestern einen Fall von falsch praktizierter IT-Security angeprangert, die man mit „Hängt den Boten!“ beschreiben kann. „Also …

…hängt den Boten…

… der schlechten Nachricht auf!“ Das zumindest hat der Governeur von Missouri gefordert, als er die Tageszeitung und den Journalisten öffentlich angeprangert hat, wegen .. „ungesetzlichem Zugriff auf die Daten von Lehrern“. Das das „Department of Elementary and Secondary Education“ der Schuldige in der Sache ist, weil es die in den USA so wichtige Social Security Number im HTML-Code Ihrer Webseite eingebettet hatte, wo sie nun wirklich JEDER finden konnte, daß war ihm nicht so wichtig.

Die Frage, wozu man die Daten überhaupt in einer Datenbank drin hatte, die die Qualifikationen eines Lehrers nachweisen sollte, erübrigt sich dabei schon fast. Wie immer gilt, was ich nicht habe, weil ich es nicht brauche, kann ich nicht verlieren.

In Deutschland nicht besser

In jüngster Zeit hatten wir in Deutschland ja jetzt schon den zweiten Fall. Erst hatte die CDU einer CCC Sympatisantin die Staatsanwaltschaft auf den Hals gehetzt, nur weil sie der CDU mitgeteilt hat, daß sie mit Ihrer kaputten Wahlhelferapp gegen den Datenschutz verstoßen hat, dann schickt eine Firma einen Programmierer, der eine Sicherheitlücke findet und meldet, da wird durch die Firma der Staatsanwaltschaft so viel Druck gemacht, daß die eine Hausdurchsuchung bei dem Programmier durchführt und dessen Arbeitsgeräte beschlagnahmt. Quintessenz: Staatsanwaltschaften sollten Nachhilfe in Sachen „Wer ist hier eigentlich der Böse“ nehmen.

Anfang des Jahres hatte ich selbst einen Fall von, zum Glück nur vermeintlichem, Verbrechen in der Firma, da hat man von der Staatsanwaltschaft gar nichts gesehen oder gehört. Das bereits vollständig aufgeklärte Verfahren ist immer noch nicht abgeschlossen worden, zumindest nicht offiziell. Das ist dann die andere Seite der Medalie.

Quelle: https://krebsonsecurity.com/2021/10/missouri-governor-vows-to-prosecute-st-louis-post-dispatch-for-reporting-security-vulnerability/