Gut gefälschte Emails der Deutschen Telekom im Umlauf

Zum Glück sind nicht alle älteren Menschen leichtgläubige Narren oder Technikneuländer. Deswegen erreichte mich heute morgen ein Anruf, ob ich da mal einen Blick drauf werfen könnte.

Gut gefälschte Emails der Deutschen Telekom im Umlauf

Hier erst einmal der Inhalt der Mail mit dem echten Link(*), also nicht drauf drücken:

„Sehr geehrter Kunde,

Ab dem 16. Oktober 2021 werden wir keine E-Mail-Adressen mehr unterstützen,
deren Kontaktinformationen noch nicht aktualisiert wurden.

Bitte besuchen Sie das Telekom Kundencenter <https://elpregon.net.ve/ws.php> für weitere Informationen.

Diese Aktion soll dazu beitragen, Missbrauch auf unseren Servern zu verhindern und Ihre Privatsphäre im Internet und mehr zu schützen.

Ein Bestätigungscode <https://elpregon.net.ve/ws.php> wird Ihnen innerhalb von 24 Stunden per E-Mail zugesandt, sobald dies abgeschlossen ist.

Freundliche Grüße,
Ihre Telekom“

*) In der normalen HTML Version war der Link natürlich nicht direkt zu sehen, weil ist ja als HTML gekommen …

Keine Rechtschreibfehler, alles in UTF-8 mit Umlauten(*). Jetzt mal der Header dazu:

Return-Path: <teldatenschutzen@t-online.de>
Received: from fwd79.dcpf.telekom.de ([10.223.144.105])
         by ehead21b02.aul.t-online.de with LMTP
         id KLbFJDtIaWGlcwAASjMwlQ
(envelope-from <teldatenschutzen@t-online.de>); Fri, 15 Oct 2021 11:22:03 +0200
Received: from spica40.aul.t-online.de ([172.20.102.122]) by fwd79.dcpf.telekom.de
         with esmtp id 1mbJIu-040aDA0; Fri, 15 Oct 2021 11:15:05 +0200
Received: from 35.178.149.175:9839 by cmpweb25.aul.t-online.de with HTTP/1.1 (Lisa V6-9-3-0.0 on API V5-37-0-0); Fri, 15 Oct 21 11:15:04 +0200
Received: from 172.20.102.138:41152 by spica40.aul.t-online.de:8080; Fri, 15 Oct 2021 11:15:04 +0200 (CEST)
Date: Fri, 15 Oct 2021 11:15:04 +0200 (CEST)
From: Telekom Logın <Noreply.>
<teldatenschutzen@t-online.de>kripo
Sender: Telekom Logın <Noreply.>
<teldatenschutzen@t-online.de>
Reply-To: Telekom Logın <Noreply.>
<teldatenschutzen@t-online.de>
To: „noreply@telekom.de“ <noreply@telekom.de>
Message-ID: <1634289304044.4922465.570724ce670bd12ae45b9b590bd6329927fd6b11@spica.telekom.de>
Subject: Mıtteılung Sıe Ihre Anmeldung

*) Umlaute in der Mail, aber nicht korrekt in den Headerfeldern, aber wer würde da als Empfänger schon drauf achten?

Auch wenn in der Email alles korrekt geschrieben wurde, ist gerade im Header der einzige Fehler der Scammer zu finden: „Mıtteılung Sıe Ihre Anmeldung“ ist natürlich Blödsinn. Auch die Emailadresse mit dem Schreibfehler ist offensichtlich: <teldatenschutzen@t-online.de>

Erschreckend ist, daß die Email nur interne Telekomsystem in den Received-Headern hat, von denen die letzten zwei auch gefälscht sein könnten, es aber wohl nicht sind. Nehmen wir das mal so wie es dort steht, dann wurde über irgendeine DTAG-API via HTTP diese Fake-Mail eingeliefert und an echte DTAG Kunden verschickt. Ich vermute ein WebMail oder gleich den „E-Mailcenter“ der DTAG selbst unter Zuhilfenahme von gehackten Zugangsdaten.

Ob das so war und ob 2FA helfen würde, könnte uns nur die DTAG beantworten, die ohne Twitter notorisch schwierig erreichbar ist.Was ist so schwer an einer Emaildresse für Security-Fragen?

Für Euch zu merken: IMMER Absender checken, LINKS checken und bei DTAG Mails steht immer der Anschluß und der Name des Kunden drin!

Umbau der Schunter

Wer im Braunschweiger Norden derzeit mit dem Fahrrad oder zu Fuß die Natur besucht, wird oft auf Absperrschilder treffen. Teile der Schunter werden „Renaturiert“. Für das Autobahnkreuz Nord hier eine kleine Impression..

Umbau der Schunter

Wenn man Sonntags in die Natur will, ist das derzeit nicht ganz so schön in Braunschweig. Von den völlig veralteten Entschleunigern an Sträßenüberwegen, die so eng sind, daß Fahrräder nicht durch passen, von Quadrovelos ganz zu schweigen, bis hin zu versperrten Wanderwegen wegen den Renaturierungsmaßnahmen der Schunter.

Schunter intakt. Grüne Bäume säumen den Flußlauf.

auf den ersten Blick ein idyllisches Fleckchen Erde…

Gelegentlich erhascht man dann ja doch noch einen seelenbefriedigenden Ausblick, außer man dreht den Kopf, dann passiert genau das Gegenteil:

Man sieht eine Autobahnbrücke, darunter aufgeschüttete Baustraßen die wie Ameisenstraßen quer durchs Bild laufen

…bis der Blick gen Norden streift.

Aufgewühlte Erde neben der Schunta, ein neuer Nebenarm entsteht. Maschinen fressen sich durch die Natur.

Richtung Süden ist es auch nicht besser 🙁

Darf man mal fragen, was das werden soll? Ein neuer Seitenarm vielleicht? Eine „Verschwenkung“ um die Fließgeschwindigkeit zu senken, bei der dann die Bäume am „alten“ Flußlauf gefällt werden, weil der „stillgelegt“ wird? Am Ende sind es eh wieder die Bäume, die den kürzeren ziehen werden.

Panoramaversion des vorherigen Bildes. Das Foto ist größenteils übersteuert.

Panoramaaufnahme.

In südlicher Richtung die Schunter runter sind noch mehr Baustellen, im Prinzip ist es große Baustelle.

DSL Ausfall bei 1und1 in Braunschweig – Linux rettet den Tag

(Stand 14:26) Seit 13:45 Uhr am 1.9. ist in Braunschweig das DSL Netz von 1und1 in unserem Bereich ausgefallen. Dank Linux kein Problem, selbst für Geräte ohne WLAN 😀

DSL Ausfall bei 1und1 in Braunschweig – Linux rettet den Tag

Die DSL-Vermittlungsstelle (DSLAM) ist derzeit nicht erreichbar und das mitten im Arbeitstag. Der Linuxer ist aber nicht hilflos, so er denn ein Handy mit Linux hat, oder ein Linux Laptop und ein Android Handy ( aka. Hotspot ) . Das man Laptops leicht per Hotspot über ein Handy ins Internet bringen kann, muß ich Euch ja nicht erklären. Aber damit ist nur das Laptop im Netz, was ist mit all den anderen Geräten im Lan?

Nun, da kommt uns Linux als Helfershelfer in der Not gerade Recht. Den Laptop, oder wie in meinem Fall, dem Surface Tablet mit Linux, muß man nur mit dem LAN per Kabel verbinden. Via der noch funktionierenden, aber mit dem INET nicht mehr verbundenen Fritzbox, gibt es die übliche IP Adresse im eigenen Lan. Nun verbindet man das Laptop mit dem Hotpot, idealerweise hatte man das früher schon mal gemacht, wenn man entspannt arbeiten konnte, aber ein Passwort werdet Ihr jetzt sicherlich auch korrekt eingeben können. Nun hat das Laptop eine Internetverbindung und kann vom Desktop PC angepingt werden, jetzt müssen wir den Datenstrom nur noch routen 🙂

Auf dem Laptop und dem Desktop müßt Ihr nun Root werden.

Auf dem PC ruft Ihr route auf:

# route
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default fritz.box 0.0.0.0 UG 0 0 0 enp7s0
192.168.0.0 0.0.0.0 255.255.255.0 U 100 0 0 enp7s0
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0

Die sogenannte Defaultroute schiebt alle Pakete, die nicht direkt im Lan ein Ziel haben an die Fritz.Box und die ins Netz.

Diese Route müssen wir auf das Laptop(hier Tablet) umleiten:

# route
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default surface.fast 0.0.0.0 UG 0 0 0 enp7s0
192.168.0.0 0.0.0.0 255.255.255.0 U 100 0 0 enp7s0
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0

Das geht so:

route del default gw fritz.box
route add default gw surface.fast

(surface.fast steht in der /etc/hosts als Hostname für die IP vom LAN Anschluß des Tablets drin, es geht auch die IP direkt)

Auf dem Laptop/Tablet müssen wir noch das Routing und IP Masquerading aktivieren:

echo 1 > /proc/sys/net/ipv4/ip_forward ;iptables -t nat -A POSTROUTING -o wlp2s0 -j MASQUERADE;

Das WLAN Interface wlp2s0 könnte bei Euch anders heißen.

Damit routen die Pakete über das Tablet, jetzt brauchen wir noch einen anderen DNS-Server in Desktop PC in /etc/resolv.conf eintragen, z.b. 8.8.8.8 von Google ( in der Situation kann man das ruhig mal machen ). Damit ist der PC wieder am Netz.

Die Aufallzeit ist jetzt 1h05m, das ist ziemlich heftig für Tagsüber. Ich habe mir einen Spaß gemacht und einen Rückruf bei 1und1 gebucht, natürlich auf die Nummer mit dem Ausfall, damit die sofort Nachforschen 😉