Brief "Wichtige Sicherheitsinfo für Sie" - Keine Werbung!

[hardy59]

Hallo!
Ich hab heute ein Schreiben von VKD erhalten, welches unter dem Betreff "Wichtige Sicherheitsinfo für Sie" den folgenden Text ausweist:

Lieber Herr XYZ,
auf Ihrem PC haben Unbekannte wahrscheinlich eine schädliche Software installiert.

Wir bekommen z.B. vom Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig Infos
darüber, wenn Anschlüsse von unseren Kunden mit schädlicher Software infiziert sind. Nach diesen Infos
ist auch an ihrem Internet-Anschluss mindestens ein Gerät betroffen.

Was können Sie jetzt tun?
....

Es folgen dann die üblichen - und im Prinzip sinnvollen - Empfehlungen wie z.B. Updates installieren, Firewall nutzen, Passwörter ändern usw.
Unten im Brief war der Link kabel.vodafone.de/kontakt, sowie die Telefonnummer 0800 5266625 genannt, wo man sich mit seinen Fragen hinwenden könne.

Ich habe soeben dort angerufen und mit einem durchaus freundlichen und hilfsbereiten Hotline-Mitarbeiter gesprochen, der sich redlich bemühte,
mir meine Fragen zu beantworten, soweit es ihm möglich war. Leider konnte er mir nicht sagen, wer was (genau) an meinem Anschluss festgestellt hatte.
Immerhin erfuhr ich, dass die Sache etwas mit den Begriffen: TCP, Wanna Crypt, Botnet Initiative, Shadow Server, Kabeldeutschland zu tun hat.
Und dass die Infektion exakt am 13.5.2017 um 15:59 und einige Sekunden stattgefunden hatte.

Jetzt dämmerte mir etwas... An dem Tag und zu dieser Stunde hatte ich die im Internet verbreitete Wannacry/Wanna Crypt
Kill-Switch-Domain "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" in meinen Browser eingetippt.
Vodafone oder das BSI oder sonstwer hat diese Verbindnung offensichtlich gemonitort, was dann letztendlich zur Zusendung diese Briefs geführt hat.

Ich hätte mir gewünscht, dass dieser konkrete Sachverhalt im Brief erwähnt worden wäre, das hätte mir Zeit und auch ein paar Nerven erspart.
Vielleicht hilft meine Schilderung ja dem einen oder anderen, der ein identisches Schreiben erhält, diese potentielle Ursache schneller zu erkennen.

Gruss,
Hardy

[Abraxxas]

An dem Tag und zu dieser Stunde hatte ich die im Internet verbreitete Wannacry/Wanna Crypt Kill-Switch-Domain "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" in meinen Browser eingetippt.

Warum?

[Boba Fett]

Ich hab heute ein Schreiben von VKD erhalten, welches unter dem Betreff "Wichtige Sicherheitsinfo für Sie" den folgenden Text ausweist:

Solche Schreiben wandern bei mir ungelesen in die Papiertonne. Das das ein Phishingversuch ist z.B. um eine (sau teure) kostenpflichtige Hotline anzurufen, ist wahrscheinlicher, als dass es wirklich ein Schreiben vom Provider ist.

Und dass die Infektion exakt am 13.5.2017 um 15:59 und einige Sekunden stattgefunden hatte.

Wannacry ist afaik nur eine Verschlüsselung die Lösegeld erpressen soll, keine Botware die Ddos ausführt.
Daher stellt sich mir schon die Frage, woher sollte VF wissen, dass du dich infiziert hast? Die dürfen deinen Anschluss gar nicht derartig überwachen, dass sie das überhaupt feststellen könnten.

Kill-Switch-Domain "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" in meinen Browser eingetippt.

Warum zur Hölle tut man sowas?
Und naja, es könnte sein, dass Vodafone, sofern es überhaupt so eine spezielle infektiöse Domain gibt, gezielt monitored, wer diese aufruft und dementsprechend Warnungen rausschickt, allerdings ist das nicht die Aufgabe deines Providers.

Vielleicht hilft meine Schilderung ja dem einen oder anderen, der ein identisches Schreiben erhält, diese potentielle Ursache schneller zu erkennen.

Wer sich infiziert hat, hat das wahrscheinlich schon längst auf ganz andere Art und Weise bemerkt.
Dabei gilt zu erwähnen, dass das Windowsupdate, was diese Sicherheitslücke behebt, bereits im März rausgegeben wurde. Wer also sein Windows einigermaßen mit Updates versorgt und nicht ein viertel Jahr wartet, bis er die Updates denn mal installiert, hat eigentlich nicht viel zu befürchten.

[Abraxxas]

@hardy59 hat die Wannacry Kill-switch Domain manuell eingegeben, warum auch immer. Dass diese Domainaufrufe überwacht werden wird wohl niemanden wundern, denn so kann man erfahren wer von Wannacry betroffen ist. Und wenn bloss zu statistischen Zwecken.
Dass die nachfolgende Warnung letztendlich vollkommen sinnlos ist steht auf einem anderen Blatt. Und somit hast du natürlich recht: ungelesen löschen und vergessen.

[hardy59]

Hi !

Zwei Anmerkungen zu den diversen Kommentaren/Fragen usw:

- Das Schreiben ist mitnichten ein Phisingversuch. Das war eine andere Geschichte mit sehr ähnlichem Titel/Betreff.

- Warum man - bzw. Wannacry - eine Verbindung zu angegebene Seite herstellt, kann man nachvollziehen, wenn man sich für den Ablauf
der Analyse dieser Ransomware interessiert. Z.B. hier: https://www.malwaretech.com/2017/05/how ... tacks.html

Gruss,
Hardy

[Bonzo]

Hallo!
Ich hab heute ein Schreiben von VKD erhalten, welches unter dem Betreff "Wichtige Sicherheitsinfo für Sie" den folgenden Text ausweist:

Lieber Herr XYZ,
auf Ihrem PC haben Unbekannte wahrscheinlich eine schädliche Software installiert.

Wir bekommen z.B. vom Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig Infos
darüber, wenn Anschlüsse von unseren Kunden mit schädlicher Software infiziert sind. Nach diesen Infos
ist auch an ihrem Internet-Anschluss mindestens ein Gerät betroffen.

Was können Sie jetzt tun?
....

Genau deswegen gehe ich nicht zu einem Provider, der dafür bekannt ist mit dem britischen Geheimdienst zusammenzuarbeiten.

Alleine diese Meldung zeigt doch wieder, dass VF/KDG seine Kundschaft offenkundig überwacht. Es geht VF/KDG überhaupt nichts an, wo jemand rumsurft, noch wie die Rechnerkonfigurationen daheim aussehen. Sind wir jetzt beim betreuten Surfen, oder haben wir es mit mündigen Bürgern zu tun?

[Breitband]

Also solche schreiben das der PC mit Schadsoftware infiziert ist und man das Überprüfen sollte, gab es auch schon von der Telekom. Die Schreiben wurden von der Abuse Abteilung versendet.

Narürlich preist Vodafone seine PC Hilfe an die da ggf. Helfen können wenn man selbst mit der Überprüfung des Pc's überfordert ist.

Grundsätzlich würde ich dem Schreiben schon ein wenig Aufmerksamkeit zukommen lassen und den Rechner prüfen. Ob ich nun gleich die PC-Hilfe buchen würde ist was anderes.

[Boba Fett]

Alleine diese Meldung zeigt doch wieder, dass VF/KDG seine Kundschaft offenkundig überwacht.

Es ist ein enormer Unterschied, ob der Provider eine Domain überwacht und so sieht, wer diese aufruft, oder ob ein Provider einen Kunden direkt umfassend überwacht.

Es geht VF/KDG überhaupt nichts an, wo jemand rumsurft

Wenn nur eine Domain überwacht wird, sieht der Provider nicht, wo jemand rumsurft, er sieht nur, ob man diese ein Domain angesurft hat, oder eben nicht.
Und das dient wohl auch nicht der Überwachung von irgendwelchen Kunden, sondern der Eindämmung einer Epidemie.

Sind wir jetzt beim betreuten Surfen, oder haben wir es mit mündigen Bürgern zu tun?

Wenn ich mir so diverse PCs und Konfigurationen ansehe, wäre betreutes Surfen durchaus angebracht. Das was man da nämlich häufig sieht, ist gleichzusetzen mit Fahren ohne Führerschein.
Das hat nicht wirklich was mit mündig oder unmündig zu tun, sondern schlicht und einfach, dass die meisten Leute sowas von überhaupt keine Ahnung von der Technik haben, dass sie es einfach nicht besser wissen können.

Deswegen sag ich ja immer, wenn zuhause ein Rohrbruch ist, holt man einen Klempner. Wenn im Sicherungskasten irgendwas kaputt ist und man deswegen keinen Strom hat, holt man einen Elektriker. Geschweige denn, dass man so eine Installation selbst aufbauen würde. Da ist das selbstverständlich.
Nur wenns um PC/LAN/Internet geht, meint irgendwie immer jeder, man muss das nur anstecken und es sollte alles laufen und sicher sein und schon gar nicht wäre daran zu denken, auch noch Geld dafür zu bezahlen, dass sich jemand mit Ahnung darum kümmern würde.

Wannacry ist übrigens wieder ein schönes Beispiel, wo ein NAT-Router einen implizit schützt, obwohl das gar nicht als Schutz gedacht ist. Mit IPv6 sind diverse einzelne Rechner direkt aus dem Internet erreichbar. Natürlich sollte sich hier die Firewall im Router darum kümmern, dass das nicht passiert, aber weil es mit IPv6 eben geht, liegt es zumindest nahe, das man dort bei Problemen einfach den ganzen Host freigibt. Das wäre analog dazu mit IPv4-NAT einen PC als DMZ zu setzen, nur das das mit IPv4-NAT grundsätzlich immer nur für einen Rechner geht.
Sieht man auch schön daran, das in Playstation/Xbox-Foren bei Problemen mit Multiplayerspielen, die eigentlich nur ein paar Portforwardings bräuchten, sehr häufig "empfohlen" wird, die Konsole einfach in die DMZ zu stellen/als Exposed Host einzustellen. Auch wenn die Konsolen nicht von Wannacry betroffen sind, zeigt das doch deutlich, wie viele Leute mit sowas umgehen, und dann natürlich auch noch "weiterempfehlen", wenn es funktioniert hat.

[Abraxxas]

Alleine diese Meldung zeigt doch wieder, dass VF/KDG seine Kundschaft offenkundig überwacht.

Ich lese da was anderes.

[catan]

Hallo Hardy,

auch ich habe diesen Brief am 17.05. erhalten und habe mich natürlich sofort gefragt, was dahintersteckt.
Der Email-Support von Vodafone konnte mir leider keine zusätzlichen Details liefern. Glücklicherweise habe ich daraufhin deinen Beitrag hier gefunden, denn als ich vor ein paar Tagen einen Beitrag über WannaCry auf Heise gelesen habe, bin ich auch aus Interesse auf die erwähnte Kill-Switch-Domain gewechselt (die übrigens von einem Sicherheitsforscher registriert wurde und nicht von den Verbreitern der Ransomware - an diejenigen, die nicht ganz verstanden haben, warum man das macht).

Ich kann also bestätigen, dass das der Grund ist, warum Vodafone diese Briefe verschickt und seinen Kunden (mir zumindest) damit einen gewissen Schrecken einjagt.

Ein wenig unverschämt finde ich, dass im zweiten Abschnitt des Briefes auf die Vodafone-Sicherheitspakete verwiesen wird, weshalb ich zuerst vermutete, dass es sich bei dem Brief um dreiste Werbung handelt. So manch ein verschreckter Kunde wird damit sicherlich zum Registrieren eines kostenpflichtigen Paketes bewegt.

Freundliche Grüße