slachtoffer van e-mail spoofing

ik krijg veel span mails ?WAT IS DE OPLOSSING

Het lijkt hier zo stil geworden? Is er ergens een ander draadje dat ik mis?

Ik heb blijkbaar de eerste golf kunnen vermijden, maar ik heb het sinds gisteren aan mijn been. Niet gewoon spoofing (iedereen kan inderdaad makelijks mails sturen die van jouw adres lijken te komen, dat wist ik al) maar, zoals anderen ook al meldden, mails aan adressen van wie ik ooit mail heb gekregen of aan wie ik mail heb verzonden.

ALDEG, ik ben het dus eens met je hele uitleg, en van alle scenario's die je aanhaalt lijkt alleen Telenet dat gehackt is mogelijk. Het gaat om veel mensen, tegelijkertijd (of in golven), en, alvast in mijn geval, wordt er in mijn naam ook gemaild naar adressen waarvan ik alleen mail heb gekregen, dus zeker niet (onbeveiligd) naar heb gemaild. Het lijkt me dus dat webmail / de telenet mail servers de enige gemeenschappelijk verklarende factor zijn.

Het kwaad is nu du dus ook voor mij geschied... Van email adres / provider veranderen lijkt me helaas geen optie, gewoon teveel accounts zijn hierop gebaseerd en teveel diensten aan gekoppeld 😞

Zijn er nog anderen die net nu ook slachtoffer zijn geworden?

Ja, maar er is weinig aan te doen...

Veranderen van mailadres en vragen aan iedereen om je oude mailadres als "ongewenst" te plaatsen.

Hello,  

I am sorry that I do not know how to write Dutch.  I am reading your notices with the help of the Chrome browser translation.

This is such an outrageous problem.  It is also made more difficult when technical help do not listen to detailed descriptions of the problem.  I see much evidence of that experience in this conversation.

I am curious to know what kind of web site you see in the Netherlands if you type the link in these emails into a web browser.  In the United States, we find web sites which are selling fraudulent diet pills.  In the UK, the same link goes with redirection to web sites about the "Brit Method".  Both are fraudulent businesses.  Perhaps you have another different variation?

The United States Federal Trade Commission is prosecuting a group who have been sending spam emails like these to lists of email addresses stolen from accounts.  If your friends and colleagues continue to receive these messages, you can forward examples to spam@uce.gov.  That might result in some action.

For the cases of this problem in Virgin Media accounts (also the same parent company Liberty Global as Telenet), we have some reports where the spammers seem to have returned to the email accounts to gather new email addresses.  I think anyone with this problem is at risk of fraud and identity theft, and so it is a very good idea to move to a safer email address, and especially to enable two-step verification.  The business of these spammers is fraud.

I notice that during July the spammers seem to go on holiday.  Now they are back again to the same tricks, sending spoofed email to all of the addresses they could find anywhere in your accounts. 

We have been analyzing the cases at Virgin Media which started in late August and early September 2015 to look for patterns since even a year later, the method by which the spammers have entered the email accounts and stole all of the addresses is unknown.    As you know, the cause does not seem to be a virus. You can see the results here:  http://wardinewrock.blogspot.com/2016/08/analysis-of-cases-of-spoofed-virgin.html

I'll try a translation to Dutch below.  Be warned that it is from a computer and so may be garbled.

-Wrock

Hallo,

Ik vind het jammer dat ik niet weet hoe het Nederlands te schrijven. Ik ben het lezen van uw mededelingen met de hulp van de Chrome-browser vertaling.

Dit is zo'n schandelijke probleem. Het is ook moeilijker gemaakt bij de technische hulp niet luisteren naar gedetailleerde beschrijvingen van het probleem. Ik zie veel bewijs van die ervaring in dit gesprek.

Ik ben benieuwd om te weten wat voor soort website zie je in Nederland als je op de link in deze e-mails te typen in een web browser. In de Verenigde Staten, vinden we websites die de verkoop van frauduleuze dieetpillen. In het Verenigd Koninkrijk, de dezelfde link gaat met omleiding naar websites over de 'Brit Method ". Beide zijn frauduleuze bedrijven. Misschien heb je een andere variatie?

De Amerikaanse Federal Trade Commission is de vervolging van een groep die al het verzenden van spam e-mails als deze om lijsten met e-mailadressen gestolen van rekeningen. Als uw vrienden en collega's blijven deze berichten ontvangt, kunt u voorbeelden spam@uce.gov doorsturen. Dat zou leiden tot enige actie.

Voor de gevallen van dit probleem in Virgin Media accounts (ook hetzelfde moederbedrijf Liberty Global als Telenet), hebben we een aantal rapporten waar de spammers lijkt te zijn teruggekeerd naar de e-mailaccounts om nieuwe e-mailadressen te verzamelen. Ik denk dat iedereen met dit probleem is het risico van fraude en identiteitsdiefstal, en dus is het een heel goed idee om te verhuizen naar een veiliger e-mail adres, en in het bijzonder in twee stappen in te schakelen. De activiteiten van deze spammers is fraude.

Ik merk dat in juli de spammers lijken te gaan op vakantie. Nu zijn ze weer terug naar dezelfde trucs, het verzenden van vervalste e-mail naar alle adressen dat ze nergens konden vinden in uw rekeningen.

We zijn het analyseren van de gevallen bij Virgin Media die begon in eind augustus en begin september 2015 om te zoeken naar patronen, omdat zelfs een jaar later, de wijze waarop de spammers hebben de e-mail geboekt en stal alle adressen is onbekend. Zoals u weet, is de oorzaak niet lijken een virus.U kunt de resultaten hier: http://wardinewrock.blogspot.com/2016/08/analysis-of-cases-of-spoofed-virgin.html

Ik zal een vertaling naar beneden Nederlandse proberen. Wees gewaarschuwd dat het vanaf een computer en dus kan worden vervormd.

Al zes weken geen spam meer verstuurd, zou het dan toch ooit ophouden? Ofwel is die mens met vakantie, de boog kan natuurlijk niet altijd gespannen staan...

Of de overheid zit hem inderdaad op de hielen, of een andere hobby gevonden, wie weet.

als je het mij vraagt kan je er niets tegen doen

trouwens wie zegt dat ze telenet zelf gebruiken om de emails te sturen ? 

om een voorbeeldje te geven

ik krijg emails aan naar info@webiste via webmaster@website

in mijn  geval is dat een catch all adress ( dus alles word naar een bepaald email gestuurt als je naar iets@ website stuurt

als je dan de email headers ga bekijken zie je dat het word verstuurt via outlook 

als je zeker wilt zijn dat het via telenet komt moet je is op de headers zien , die zien er zo uit

Delivered-To: xxx@xxx
Received: by 10.200.48.249 with SMTP id w54csp295035qta;
        Fri, 30 Sep 2016 08:28:34 -0700 (PDT)
X-Received: by 10.28.66.1 with SMTP id p1mr4265397wma.53.1475249314630;
        Fri, 30 Sep 2016 08:28:34 -0700 (PDT)
Return-Path: <telenet@sim.telenet.be>
Received: from ptr210.sim.telenet.be (ptr210.sim.telenet.be. [195.130.147.210])
        by mx.google.com with SMTP id xu9si21137980wjc.139.2016.09.30.08.28.34
        for <xxx@xxx>;
        Fri, 30 Sep 2016 08:28:34 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of telenet@sim.telenet.be designates 195.130.147.210 as permitted sender) client-ip=195.130.147.210;
Authentication-Results: mx.google.com;
       spf=pass (google.com: best guess record for domain of telenet@sim.telenet.be designates 195.130.147.210 as permitted sender) smtp.mailfrom=telenet@sim.telenet.be
Message-ID: <160930172332.SIM_4AB4yodaaFYlc50FxgEvECAEsAnCw2ktn1ZVy8HlPVRFKGUOXrnsNA3IhQoyUYrAQIe50%2BpU0oIQVfkAIzm2cL6k409O1@ptr210.sim.telenet.be>
From: Telenet <telenet@sim.telenet.be>
To:PowerChaos <xxx@xxx>
Subject: Play Sports: Super Sunday met alles erop en eraan!
Date: Fri, 30 Sep 2016 17:23:32 +0200
Reply-To: No-reply
  <noreply@playsports.be>
X-MA-Reference: SIM_4AB4yodaaFYlc50FxgEvECAEsAnCw2ktn1ZVy8HlPVRFKGUOXrnsNA3IhQoyUYrAQIe50%2BpU0oIQVfkAIzm2cL6k409O1
X-MA-Instance: SIM_4AB4yodaaFYlc50FxgEvECAEsAnCw2ktn1ZVy8HlPVRFKGUOXrnsNA3IhQoyUYrAQIe50%2BpU0oIQVfkAIzm2cL6k409O1.792795da152414210f0f258a20ac7203
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----=_NexPart_000"

------=_NexPart_000
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Lees de Play Sports nieuwsbrief op http://sim.telenet.be/optiext/optiextens=
ion.dll?ID=3D4qB4yodaaFYlc50FxgEvECAEsAnCw2ktn1ZVy8HlPVRFKGUOXrnsNA3IhQoyUY=
rAQIe50%2Bo6gGUX5JDjSrS2cL8g6DxqK

------=_NexPart_000
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

hoop info en opmaak van play sport

------=_NexPart_000--

en als het via de webemail komt ziet het er nog anders uit

dan krijg je de volgende info er ook bij 

mischien dat telenet dat kan toevoegen als ze dat niet hebben

dit voorbeeld is van mijn CronJob , niet gerelateerd met telenet

Delivered-To: xxx@xxx
Received: by 10.200.48.249 with SMTP id w54csp366562qta;
        Fri, 30 Sep 2016 11:00:10 -0700 (PDT)
X-Received: by 10.194.39.101 with SMTP id o5mr2829019wjk.192.1475258410164;
        Fri, 30 Sep 2016 11:00:10 -0700 (PDT)
Return-Path: <demon@ssd.powerchaos.com>
Received: from ssd.powerchaos.com (ssd.powerchaos.com. [213.136.92.212])
        by mx.google.com with ESMTPS id u7si5853153wmf.84.2016.09.30.11.00.04
        for <xxx@xxx>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Fri, 30 Sep 2016 11:00:05 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of demon@ssd.powerchaos.com designates 213.136.92.212 as permitted sender) client-ip=213.136.92.212;
Authentication-Results: mx.google.com;
       spf=pass (google.com: best guess record for domain of demon@ssd.powerchaos.com designates 213.136.92.212 as permitted sender) smtp.mailfrom=demon@ssd.powerchaos.com
Received: from demon by ssd.powerchaos.com with local (Exim 4.87) (envelope-from <demon@ssd.powerchaos.com>) id 1bq26M-0002l2-8F for nico.quintiens@gmail.com; Fri, 30 Sep 2016 20:00:02 +0200
From: "(Cron Daemon)" <demon@ssd.powerchaos.com>
To: xxx@xxx
Subject: Cron <demon@ssd>  "cron"
Content-Type: text/plain; charset=UTF-8
Auto-Submitted: auto-generated
Precedence: bulk
X-Cron-Env: <XDG_SESSION_ID=520692>
X-Cron-Env: <XDG_RUNTIME_DIR=/run/user/1007>
X-Cron-Env: <LANG=en_US.UTF-8>
X-Cron-Env: <SHELL=/usr/local/cpanel/bin/jailshell>
X-Cron-Env: <MAILTO=xxx@xxx>
X-Cron-Env: <HOME=/home/demon>
X-Cron-Env: <PATH=/usr/bin:/bin>
X-Cron-Env: <LOGNAME=demon>
X-Cron-Env: <USER=xxx>
Message-Id: <E1bq26M-0002l2-8F@ssd.powerchaos.com>
Date: Fri, 30 Sep 2016 20:00:02 +0200
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - ssd.powerchaos.com
X-AntiAbuse: Original Domain - gmail.com
X-AntiAbuse: Originator/Caller UID/GID - [1007 994] / [47 12]
X-AntiAbuse: Sender Address Domain - ssd.powerchaos.com
X-Get-Message-Sender-Via: ssd.powerchaos.com: authenticated_id: xxx/primary_hostname/system user
X-Authenticated-Sender: ssd.powerchaos.com: xxx
X-Source: 
X-Source-Args: /usr/sbin/CROND -n
X-Source-Dir: /home/demon

Content-type: text/html; charset=UTF-8

Please login to join lotery

maar om dit probleem op te lossen is niet echt een oplossing beschikbaar spijtig genoeg

mischien dat ze dkip en spf willen gebruiken als verificatie , maar dat stopt het probleem van spoofing niet

mvg

PowerChaos

Hoezo heb jij je moeten verontschuldigen? Het gaat toch om "bounces" op spammails waarin jouw mailadres als afzender misbruikt wordt, niet dan? Als er mails naar jouw contacten worden verstuurd, dan lijkt het er eerder op dat jouw adresboek "gekraakt" is. Verder vrees ik dat Telenet hier niet veel aan kan doen. Ik heb het ook ooit meegemaakt dat een (Telenet) adres van me misbruikt werd als afzender. Gewoon uitzweten was de boodschap. Een kill filter instellen in je mailclient is ook handig natuurlijk.

Tegenwoordig heb ik een eigen domein met mailhosting waarin ik een zgn. "catchall" heb ingesteld en daar ontvang ik spam op aliassen (blc@, mannex@, info@) die ik nog nooit gebruikt heb. De ene dag al wat meer dan de andere. Ik lig daar echt niet van wakker; gewoon een kill filter instellen...

  Bjørn (sb) | Ere-Krak
 An angel led me when I was blind, I said 'Take me back, I've changed my mind.'  
    Vergeet niet om likes te geven en/of als oplossing te markeren.

Euh? Aan wie ligt het als een online adresboek gekraakt wordt, honderden tegelijk van telenet, op hetzelfde moment? Dat dit patroon nu nog ontkent wordt, dat is we erg  goedgelovig.

Dat er op dit moment niets meer kan aan verholpen worden, daar zijn we het wel al over eens.

Bij mij is het in ieder geval al weken geleden dat er nog spam werd verstuud met mijn adres als afzender. Hoe zit het bij juliie?

Waar haal je die informatie vandaan dat online adresboeken bij TN gekraakt zouden zijn? En wel bij honderden tegelijk? Dat is het eerste wat ik daarvan hoor. Wat zijn je bronnen?

Trouwens, het kan ook best zijn dat jouw adres in het adresboek staat van je correspondenten en dat die hun adresboek gekraakt is. Die moeten zelfs niet eens een TN account hebben! En zo zijn er nog mogelijkheden. Zoals gezegd krijg ik via mijn catchall reclame binnen op aliassen die ik nooit gebruikt heb.

  Bjørn (sb) | Ere-Krak
 An angel led me when I was blind, I said 'Take me back, I've changed my mind.'  
    Vergeet niet om likes te geven en/of als oplossing te markeren.

Oh ironie,  deze morgen was het weer van dat.

Ik gebruik enkel de webmail versie. Er worden mails gestuurd naar mensen die ik ooit een keer gemaild heb, en naar mensen waar ik frequent mee mail. Dit kan toch enkel uit mijn eigen adressenlijst komen?

Ik zeg niet dat het onmogelijk is dat de webmail van TN gekraakt is waardoor jouw adressen misbruikt worden, maar...

- die adressen worden wel via jouw computer bekeken. Wie zegt dat er op jouw computer géén virus/Trojaans paard/... zit die dit veroorzaakt? Ik kan op jouw computer een bestand zetten waarmee ik alles in het oog kan houden wat je doet. Als ik dan een programma zou hebben om alles met een apenstaartje automatisch door te sturen, dan heb ik je adressen.

- als iemand waarmee jij via e-mail correspondeert een virus/Trojaans paard/... heeft, dan kan dat ook de oorzaak zijn. En als jullie gemeenschappelijke kennissen hebben...

- als die database van TN gekraakt zou zijn, denk je niet dat daar dan meer geruchtbaarheid aan gegeven zou worden. Dat hier (of elders) een pak méér gebruikers zouden klagen over dit verschijnsel?

Tot slot, als je het adressenbestand binnen webmail niet vertrouwt, dan stel ik voor dat je een mailclient (bijv. Mozilla Thunderbird) installeert en de online adressen verwijdert. Verder zou ik mijn PC eens grondig scannen: avast! Free Antivirus, SUPERAntiSpyware Free, Malwarebytes Anti-Malware Free, ... Laat wat weten als je (n)iets vindt!

  Bjørn (sb) | Ere-Krak
 An angel led me when I was blind, I said 'Take me back, I've changed my mind.'  
    Vergeet niet om likes te geven en/of als oplossing te markeren.

Iedereen die last heeft, heeft toch al zijn pc gescand? Ik heb nog niets gehoord of gelezen dat er ook maar een iemand een virus heeft aangetroffen.

Eigenlijk is het mijn adresboek niet, want ik heb er geen. De webmail houdt de historiek ergens bij. Het kan enkel uit mijn historiek komen. Er zitten zeer specifieke mailadressen in (werkgerelateerd, mensen in buitenland) zodat ik wel zeker ben dat het niet via een derde is gegaan.

Heb je de vorige posts gelezen? De antwoorden van telenet?

Ik heb me er al lang bij neergelegd dat er niets kan aan gedaan worden hoor.