Hulp gevraagd - Telenet zegt dat ik spam stuur

[ITnetadmin]

Onze interne afdeling Cybersecurity heeft meer dan 6 uur geleden een spammelding van u ontvangen

Hoe vaag kan men iets stellen.
En nog niet eens details (bv naar welke server/IP, metadata, spammelding van wie/wat/... ).

En dan zegt de TN helpdesk *zelf* dat ze van niks weten en dat het wel phishing zal zijn.

Fun times.

[raf1]

Daarbij ben ik verknocht aan de internetsnelheid, en is Telenet de enige internetprovider die dit kan bieden waar ik woon.

Dit klopt dus niet.
Goed nieuws voor jou dan, Orange is goedkoper en sneller over dezelfde coaxkabel: 1000 Mbps down en 50 Mbps up: https://www.orange.be/nl/opties-en-dien ... rnet-boost

[VenimK]

Heb hier helemaal hetzelfde voor sinds gisterenmorgend

Al men diensten 'geblokeerd'
Vrees dat dit maar opgelost wordt maandag ofzo

2 tieners thuis

[Tomby]

Ik zou dit ook eens op netweters posten, gezien daar ook Telenet medewerkers zitten. Ik vind het toch wel een straf verhaal en behoorlijk amateuristisch van Telenet.
* je hele dienst afsluiten, dus ook geen GSM of telefoon meer? Really?
* amateuristische standaard mail van hun ‘Cybersecurity’ afdeling… een ‘spammelding van u’ wil zeggen dat ik de melding deed, niet dat er over mij geklaagd wordt.
* totaal geen medewerking inzake gegevens/logs die je toch al wat zouden kunnen helpen.
* en eigenlijk ook best ironisch gezien het aantal spam en phishing mails dagelijks in mijn (ongebruikte) Telenet inbox te vinden zijn.

Nu, we hebben hier al 3 gedupeerden, dus zouden toch al wat moeten kunnen correleren. Maar ook het feit dat een ervaren UB’er als wimpie hier slachtoffer van is, geeft wel te denken. Beeld je in dat Jan met de pet zo een mail krijgt, die weet gewoon totaal niet wat hij moet doen.

[Fallschirmjaeger]

3 mensen op zo’n korte tijd lijkt mij toch eerder een probleem aan de kant van Telenet te zijn.

Sowieso compleet onlogisch dat gsm’s ook niet meer werken.

Werken inkomende oproepen nog? Indien niet, dan is dat gewoon een complete opzeg van de diensten ipv een blokkering. Bij een blokkering (bijv. wegens wanbetaling) worden altijd uitgaande connecties geblokkeerd, maar nooit inkomende.

[VenimK]

Inkomend werkt ook niet
Helemaal niets

[Data technicus]

Inkomend werkt ook niet
Helemaal niets

En als je bij een kennis of buur op mijn telenet inlogt. Wat staat daar dan op.

Verstuurd vanaf mijn SM-A536B met Tapatalk

[Fallschirmjaeger]

Inkomend werkt ook niet
Helemaal niets

Dan gaat het dus waarschijnlijk om een pure opzeg van uw producten ipv een blokkering.

[raf1]

Het maakt in de praktijk weinig uit waar het probleem zich precies technisch situeert. Telenet trekt toch aan de touwtjes en bewijs maar eens dat Telenet hier in fout is.

Telenet schorst de volledige overeenkomst bij hoogdringendheid omdat de klant blijkbaar de goede werking van het Telenet-netwerk voor andere klanten op één of andere wijze belemmert.
Dat kan Telenet doen, want volledige schorsing van de overeenkomst is een mogelijkheid die in de algemene voorwaarden staat.

De consument die voor al zijn communicatie afhankelijk is van één gebundeld aanbod bij Telenet loopt dus het risico dat zijn communicatie volledig wordt afgesloten.

Wanneer desbetreffende klanten die waarschuwing kregen hadden ze hun modem meteen moeten uitschakelen, alle netwerkapparaten loskoppelen, wachtwoorden wijzigen en daarna terug één pc met een Linux live CD moeten opstarten en aansluiten.
Op dat moment zou de installatie als veilig en vrij van malware of spammers kunnen beschouwd worden.
Dat is de enige manier om te bewijzen dat Telenet in fout is gegaan.

Nu is het flou, zijn het de apparaten van de klant die het Telenet-netwerk spammen of niet?

Soit, in hoofde van Telenet is er voorlopig geen overeenkomst meer met desbetreffende klanten.
Het is nu aan die klanten om Telenet op hun blote knietjes te smeken om hun diensten opnieuw te activeren.
Of met een schone lei bij een andere operator aan te kloppen.

[Luboli]

Welke firewalls draaien jullie?

[wimpie3]

Status update: sinds ik ben "gemarkeerd" als spammer geeft www.telenet.be een 403 error bij mij, waardoor ik mijn verbruik zelfs niet meer kan opvolgen. Verder heb ik ook helemaal niets meer vernomen van de abuse mensen, de rest van mijn verbinding werkt nog steeds, maar het voelt ongelofelijk onrechtvaardig om van iets te worden beschuldigd, zonder extra uitleg, met het zwaard van Damocles (=afsluiting) buiten je hoofd. Met twee telewerkers en twee studenten zou dat een ramp zijn. Ik zit me suf te zoeken, met DPI zelfs alles bekeken op routerniveau, NIKS te vinden. Ik kan dus ook niet zeggen dat er IOT materiaal 'schuldig' zou zijn. Ofwel was het iets éénmaligs. Kan uiteraard ook altijd.

Jarenlang geen last gehad met Telenet, tot begin dit jaar de ellende begon met het activeren van een nieuwe box. Dat was nog gewoon kwestie van geduld hebben. Dit voelt anders, meer bedreigend.

Ter aanvulling: ook op Netweters een thread hierover (https://www.netweters.be/t5/E-mail/Blac ... m-p/174089)

[cyberbug]

Verder heb ik ook helemaal niets meer vernomen van de abuse mensen, de rest van mijn verbinding werkt nog steeds, maar het voelt ongelofelijk onrechtvaardig om van iets te worden beschuldigd, zonder extra uitleg, met het zwaard van Damocles (=afsluiting) buiten je hoofd. Met twee telewerkers en twee studenten zou dat een ramp zijn.

Geen idee wat je dependencies voor de rest bij Telenet zijn (TV, GSM abonnementen die daar in jou geval mogelijks het voordeligs uitkomen) en of VDSL daar voldoende snelheid bied / glasvezel beschikbaar is. (anders is er nog orange via Coax)

Ander zou ik zeggen Misschien is het eens tijd voor een andere provider als dit blijft aanslepen...
in dit geval zou ik persoonlijk al kijken dat ik mobiel ergens anders zit met voldoende data. Voor moest het echt mislopen, om toch nog te kunnen telewerken en toegang te hebben tot het studie materiaal.

[Funfile]

Als ik dat hier zo goed lees, dan zal het niet lang meer duren tot ook enkele bedrijven getroffen worden. En dan bedoel ik dus de grotere bedrijven met een inhouse IT-afdeling.

Immers, de leden op Userbase die er al mee te maken hebben gehad, dat zijn geen simpele huis-tuin-keuken gebruiker zoals ikzelf*. Die weten hun beveiliging te regelen (niemand kan alles afdekken, daar ben ik me ook bewust van).

En dan zal een Unizo of andere werkgeversorganisatie vlug aan de bel trekken.

't Is dan maar te hopen voor Telenet dat ze hun afsluitingen goed onderbouwd hebben. En 't is in hun eigen belang om hun klanten te helpen.

Als Proximus hier lucht van krijgt, en de getroffen klanten wel een oplossing biedt, dan kan Telenet inpakken.

------

Uiteraard hoop ik ten eerste dat de topicstarter hier vlug geholpen kan worden door mede-ub'ers.

* ikzelf ben dus wél een 'jan-met-de-pet'

[CCatalyst]

met DPI zelfs alles bekeken op routerniveau

En hoe gaat hij dat zien als dat versleutelde SMTP is?

Jammer dat de vragen naar meer informatie - oa wat de IoT dan precies is - niet beantwoord worden.

[Funfile]

https://answers.microsoft.com/nl-nl/out ... 820aadb2be

Bovenstaande link beschrijft een gelijkaardig probleem.

Er wordt gesuggereerd van uw ip-adres even te checken via deze website :

https://mxtoolbox.com/SuperTool.aspx?ac ... n=toolpage

[CCatalyst]

^ toont enkel of je IP op een block list staat. Het is niet omdat er klachten gestuurd werden naar Telenet over uw IP dat het automatisch ook op een block list staat. Block list kan ook al vervallen zijn (na 24u oid).

[dragonflo]

Ik heb dit ook al voorgehad. Iemand had multi-purpose malware geïnstalleerd op hun gsm. Elke keer de malware contact maakte met een bepaald IP belandde mijn IP op een black list. Dit was bij een andere provider en ik heb netwerk logs gekregen. Je moet goed opletten wie je toelaat op jouw internet.


Als je echt spamt dan gaat veranderen van provider jouw probleem niet echt oplossen. Je besmet toestel gaat blijven spammen.

[dupondje]

Je thuis IP adres zal nooit op een blacklist komen. Of het zou moeten zijn onder de categorie 'ips die geen mail mogen sturen'.

Dit omdat je thuis IP nooit mails kan sturen naar externe mailservers, aangezien poort 25 geblokkeerd is! Je kan enkel mailen via relays (zoals bv die van Telenet).

Je IP is dan ook nog eens dynamisch, dus blacklists daarop zijn sowieso useless en te negeren.

[datakiller]

Hebben jullie je IP al bekeken op https://www.abuseipdb.com/ ?

[Data technicus]

Toch geen zyxel apparatuur in jullie netwerk.

https://arstechnica.com/security/2023/0 ... ical-flaw/

Mss een idee om al jullie apparatuur die jullie in jullie netwerk hebben eens te posten. Mss dat er overeenkomsten in jullie netwerk is wat dit probleem veroorzaakt.

Verstuurd vanaf mijn SM-A536B met Tapatalk

[VenimK]

Eerst de TLN modem
Dan pfsense firewall.
Dlink 24 port switch
Enkele smartphones
Smart tv's
Apple tv
Shield tv
Mac mini
Chrome book
2 Windows pc
Sat decoder
Philips hue
Energy Wizard plugs

Toegevoegd na 2 minuten 57 seconden:

Welke firewalls draaien jullie?

pfsense

[CCatalyst]

Zonder detail merk/model is het moeilijk iets te zeggen, maar hier bv een artikel over het inschakelen van satelliet ontvangers in botnets:

https://hackaday.com/2015/08/09/million ... r-botnets/

[wimpie3]

Zonder detail merk/model is het moeilijk iets te zeggen, maar hier bv een artikel over het inschakelen van satelliet ontvangers in botnets:

https://hackaday.com/2015/08/09/million ... r-botnets/

Zoiets zou je toch merken aan het dataverkeer vanop de receiver? Ik hou alles nauwlettend in de gaten via mijn router. Geen enkel toestel op mijn netwerk doet gekke dingen. Ik ga er voorlopig van uit dat het IP adres dat ik op een bepaald moment in gebruik had bij Telenet, inderdaad gebruikt is voor spam, maar niet door mij, wel door iemand die vóór mij dat adres had. Dat lijkt me de enige zinvolle conclusie tot nu toe. Ik blijf het opvolgen uiteraard.

[CCatalyst]

Geen enkel toestel op mijn netwerk doet gekke dingen.

En dat is dus gebaseerd op het monitoren van versleuteld verkeer... ?

Ik ga er voorlopig van uit dat het IP adres dat ik op een bepaald moment in gebruik had bij Telenet, inderdaad gebruikt is voor spam, maar niet door mij, wel door iemand die vóór mij dat adres had. Dat lijkt me de enige zinvolle conclusie tot nu toe. Ik blijf het opvolgen uiteraard.

Ok, dat is wat ik hierboven al veronderstelde.

Laat ons weten als je er nog iets over hoort.

[wimpie3]

Geen enkel toestel op mijn netwerk doet gekke dingen.

En dat is dus gebaseerd op het monitoren van versleuteld verkeer... ?

Ik ga er voorlopig van uit dat het IP adres dat ik op een bepaald moment in gebruik had bij Telenet, inderdaad gebruikt is voor spam, maar niet door mij, wel door iemand die vóór mij dat adres had. Dat lijkt me de enige zinvolle conclusie tot nu toe. Ik blijf het opvolgen uiteraard.

Ok, dat is wat ik hierboven al veronderstelde.

Laat ons weten als je er nog iets over hoort.

Versleuteld verkeer kun je niet monitoren, maar de hoeveelheid dataverkeer per toestel wel. Als er echt een spam bot actief zou zijn, gaat dat niet over een paar megabytes gaan per uur denk ik dan zo...

[iceke]

Ik vraag me af hoever je het moet gaan zoeken als je een mailtje krijgt van abuse@ ?
Ik heb die mensen hun toestellen nagekeken, een mail teruggestuurd dat alles gecontroleerd was en gevraagd om hen/mij op de hoogte te houden...en dan wordt het stil.
Dik vermoeden dat ze het gewoon zelf niet weten, wie,wat,waar of wanneer en maar wat mails rondgestuurd hebben.

[ITnetadmin]

Dat toont meteen de nadelen van encryptie, zeker als die niet zelf ingesteld is, en je de router/firewall dus geen MITM kunt maken.

[vverbeke]

Op zich hoef je toch niet per sé de inhoud te kunnen scannen? Als een apparaat waarvan je verwacht dat het geen mails stuurt toch verkeer zendt over de gekende SMTP poorten weet je al meer.

[koenraaddeconinck]

Gewoon escaleren naar de ombudsdienst ... Anders krijg je bij / van TN niets meer gedaan. Punt.

[Kenniey]

Heeft iemand van jullie de non-official Telenet plugin uit HACS in Home Assistant draaien?
Deze doet vermoedelijk teveel calls naar Telenet en kan een van de oorzaken zijn.

[VenimK]

Heeft iemand van jullie de non-official Telenet plugin uit HACS in Home Assistant draaien?
Deze doet vermoedelijk teveel calls naar Telenet en kan een van de oorzaken zijn.

Heb deze al menige maanden draaien
..
Maar nu dan toch verwijdert ineens

[Ken]

15 jaar geleden iets gelijkaardigs gehad op 't werk toen ik ook wat zorgde voor de ICT. Telenet nam toen telefonisch contact op om te melden dat er vanaf ons netwerk hackpogingen werden ondernomen t.a.v. het Amerikaanse DoD. Een verouderde Netasq firewall was de oorzaak, na upgrade pas verholpen... Maar toen wel gestopt met werken ginder gezien vertrouwensbreuk omdat ze dachten ik de hacker in kwestie was...

Sindsdien komt hier geen enkele Sonicwall, Netasq of andere zogezegde security appliance meer, sommige zijn zo lek als een zeef en helemaal niet transparant.

[dovo]

Heeft iemand van jullie de non-official Telenet plugin uit HACS in Home Assistant draaien?
Deze doet vermoedelijk teveel calls naar Telenet en kan een van de oorzaken zijn.

Om gemarkeerd te worden als ‘te snel’ mijn.telenet gebruiken moet je zelfs geen unofficial plugin draaien. Ik ben hier een vijftal jaar geleden van beschuldigd. Als je behendig bent met keyboard-only access om je productiviteit hoog te houden, dan kan je mijn.telenet sneller bedienen dan men verwacht wat iemand met een muis kan. Aan de telefoon zijden ze “het is onmogelijk dat een mens zo snel is”. Ze gaan ervan uit dat de brakke interface genoeg vertraging geeft om in de back office geen race collisions te krijgen.

En even on topic: als Telenet belachelijk blijft doen om je meer info te geven, dien dan een GDPR verzoek in om alle data die Telenet van je heeft op te vragen. Het abuse team moet een rechtsgeldige argumentatie invullen in de interne tool die je ip adres aan je e-mail/klanten nummer koppelt. Je hebt gewoon recht om te weten wat men met jouw data doet intern, behalve als dit op verzoek van een onderzoeksrechter is gebeurd. Als ze dus niet kunnen uitleggen hoe de link tussen jouw ip en je e-mail is gelegd, dan mag je dit verder escaleren, want Telenet verwerkt heimelijk je gegevens zonder je er inzicht in te geven.
Met de vraag “wat was de abuse die is verzonden” kunnen ze je blijven afwimpelen met onzin verhaaltjes, een GDPR verzoek recht op inzicht data kunnen ze echter niet weigeren. Als dit GDPR verzoek inzicht data dan onvolledig blijkt te zijn, dan mag je dit melden aan de autoriteiten. Je moet je niet schamen om wat druk op de ketel te zetten, Telenet heeft zich aan de wet te houden zoals iedereen.

[Sasuke]

Een verouderde Netasq firewall was de oorzaak, na upgrade pas verholpen... Maar toen wel gestopt met werken ginder gezien vertrouwensbreuk omdat ze dachten ik de hacker in kwestie was...

Sindsdien komt hier geen enkele Sonicwall, Netasq of andere zogezegde security appliance meer, sommige zijn zo lek als een zeef en helemaal niet transparant.

/off-topic: maarreuh ... jouw logica klopt toch ook niet echt hé ...
"Ik heb mijn toestellen niet onderhouden ... werd toen gehacked ... sindsdien koop ik geen toestel meer ..." Zo los je 'jouw' probleem inderdaad wel op

On Topic: Telenet is echt niet goed bezig de laatste tijd, die hun software issues zorgen echt voor klanten verlies. Zelf ook net de beslissing genomen om een aantal lijnen om te zetten omdat ze gewoonweg hun administratie niet meer in orde krijgen ... en als je dan dit verhaal hier leest ... schrijnend.

[Ken]

Telenet ging toen ook Internet afsluiten. Een online groothandel dan nog zonder degelijke mogelijkheid tot communiceren met hen... De firewall was dan ook niet eens in mijn beheer terwijl er wel een onderhoudscontract was met een IT firma. De firmware upgrade kwam er ook alleen maar na aandringen van de IT firma toen het probleem onderzocht werd door hen. Er werd zelfs tijdelijk een andere firewall tussen gezet.

Sindsdien voor andere doeleinden wel Sonicwall en ZyXEL gekocht maar toen zodanig slecht onderhouden dat je ze beter om de 2 jaar meteen al kon vervangen met een newer exemplaar.

[Sinna]

Sindsdien voor andere doeleinden wel Sonicwall en ZyXEL gekocht maar toen zodanig slecht onderhouden dat je ze beter om de 2 jaar meteen al kon vervangen met een nieuwer exemplaar.

Ik heb eigenlijk geen klagen van ZyXEL. Je moet er inderdaad wel op letten (maar da's met alle merken firewalls) dat het toestel nog ondersteund is qua firmware-updates.

[ITnetadmin]

Dan mogen ze die ook lang aanhouden, die updates.
In een thuisnetwerk worden apparaten nu ook niet vervangen op het moment dat de support stopt; dat zou een dure grap worden.
Zelfs in vele bedrijven krijg ik dat niet verkocht, het vervangen van devices die niet langer supported zijn; dingen moeten werken tot ze kapot zijn of alleszins teveel verouderd om nog echt inzetbaar te zijn.

Nu, uw service permanent beeindigen omdat je ns het slachtoffer van hackers bent geweest, vind ik er wel wat over.
Dat kan iedereen overkomen, niet alleen zij die een paar updates vergaten (of uitstelden tot een geschikt moment in de bedrijfsagenda, want een firewall leg je niet altijd zomaar stil tijdens de uren, je weet nooit wat er kan foutlopen).
En zoals je hoort, loopt het ook vaak fout via 3rd parties, dat je mss niet altijd a-la-minute in het oog hebt.

[Marsmillo]

Met mijn beperkte kennis zou ik eens goed in mijn haar krabben als ik zo'n bericht van Telenet zou mogen ontvangen. Ik weet niet of telenet modems loggen en of je dat kan uitlezen. Maar lijkt mij zowat de enige manier te zijn om te weten of er iets verkeerd gelopen is. Hoe ik zelf iets zou moeten opstellen om vanaf dan alle netwerkverkeer binnen mijn thuisnetwerk te loggen zou ik niet direct weten en vermoed dat een gemiddelde klant van telenet dit ook niet weet.

Als Telenet zo'n berichten stuurt, dan mogen ze gerust ook wel wat meer uitleg erbij geven...

[CCatalyst]

Maar lijkt mij zowat de enige manier te zijn om te weten of er iets verkeerd gelopen is.

Op basis van de openingpost zou het om een (externe?) melding gaan. Ben echter niet zeker, info op dat vlak is te karig.

Als Telenet zo'n berichten stuurt, dan mogen ze gerust ook wel wat meer uitleg erbij geven...

Nochtans is alles voorbij de Telenet modem/router in uw huis eigenlijk uw verantwoordelijkheid en is het niet aan Telenet om daar ondersteuning voor te bieden (tenzij specifieke TN apparatuur met support). Ze mogen dat natuurlijk wel doen, maar het hoeft niet. Als ze zeggen "we krijgen deze melding, dit komt van uw netwerk, los het op" dan zijn ze 100% in hun recht.

Ik huiver ook van die impliciete verlegging van de demarcatie gezien het dossier van de vrije modemkeuze.

[Joe de Mannen]

Als ze zeggen "we krijgen deze melding, dit komt van uw netwerk, los het op" dan zijn ze 100% in hun recht.

Dat is het net, ze zeggen 'we krijgen "een" melding, en we stoppen daarom eenzijdig onze overeenkomst'.
Alsof de politie aan uw deur zou staan en zeggen: 'u hebt "een" overtreding begaan, we nemen stante pede uw auto in beslag'.

J.