Enkele dagen geleden ontvingen we ene phishing mail vanuit noreply@tele2.nl op onze redactiemailbox. Nu is de e-mail beveiliging van Tele2 niet heel erg waterdicht, dus dat geloven we wel… totdat we ineens een mail kregen vanuit info@service.tele2.nl over nieuwe MijnTele2 account zonder rare link erin…
Update 12-06-2023 18:30
Inmiddels hebben we contact gehad met T-Mobile (moederbedrijf). De woordvoerder laat weten dat de spookaanmeldingen zijn stopgezet. Hoe het systeem misbruikt is en wat de omvang hiervan is, is nog onbekend.
08-06-2023 ‘Nieuwe Update’
Op 8 juni ontvingen we de betreffende mail die duidelijk was opgesteld als phishing aanval. De link in de mail verwees niet naar tele2, maar naar een nep website. De mail werd netjes verzonden vanuit noreply@tele2.nl, maar werd door Outlook toch als SPAM gemarkeerd. Opvallend, want het SPF record in het DNS (ja, nu worden we technisch) eindigt met ~all. Dit wil zeggen dat alle genoemde mailserver namens @tele2.nl mogen mailen, maar anderen ook. Dit is nogal een risico dat Tele2.nl neemt. We zouden verwachten van een dergelijk bedrijf dat ze -all gebruiken, waardoor ze zeggen dat alleen de mailservers in de lijst namens @tele2.nl mogen mailen en de rest toch echt spam is.
Uw toegang is nog ongeautoriseerd update uw account
Geachte heer/mevrouw,
Tele2 krijgt een update zowel online als in de app. Je kunt nu meerdere abo=
nnementen tegelijk beheren en inloggen met =E9=E9n e-mailadres.Uw Tele2 account is nog niet geverifieerd ter controle is het van belang om=
eenmalig een verificatie te volbrengen. Nadien zullen alle financi=EBle za=
ken automatisch geregeld worden.Login met uw e-mailadres.
<https://###.s2.webspace.re>Wij vertrouwen erop u hiermee voldoende te hebben geinformeerd.
________________________________
Met vriendelijke groet,
Tele2 SupportCopyright =A9 Tele2<https://www.tele2.nl/>
Privacy Policy<https://www.tele2.nl/privacy-policy/> | Disclaimer<https://w=
ww.tele2.nl/disclaimer/>
10-06-2023 ‘Activeer nu je MijnTele2 account’
Wij negeerden die eerste mail tot 10 juni. Toen ontvingen we een mail met de titel Activeer nu je MijnTele2 account. Deze werd door Outlook niet als spam gezien en was afkomstig van info@service.tele2.nl. Nu waren we alert door de eerste mail en zien we dat alleen Outlook op basis van het SPF record mail mag versturen namens service.tele2.nl.
Maar we kijken wat dieper in de mail. Want outlook wordt meestal ingezet voor mail accounts van gebruikers en in mindere maten om grote hoeveelheden mail te versturen.
In de headers van de mail vinden we dat de mail niet helemaal afkomstig is van info@service.tele2.nl, maar is verzonden door 01070188a6685522-1c61951e-f929-41d1-bf65-56182297b828-000000@aws.service.tele2.nl. Wanneer we het SPF opvragen van aws.service.tele2.nl zien we dat iedereen met een account op amazonses.com mail mag verzenden, en dat mails van anderen mogelijk ook legitiem zijn, omdat deze weer eindigt met ~all.
Doordat de mail genaamd “Activeer nu je MijnTele2 account” mij niet specifiek vraagt om naar een bepaalde link te gaan, maar enkel mijn account te activeren, voelt het alsof iemand echt in de systemen van Tele2 is gekropen en daar en masse accounts is gaan aanmaken met het risico dat iemand producten/diensten op mijn naam heeft op het moment dat ik daadwerkelijk mijn account activeer.
Beste klant,
Fijn dat je een MijnTele2-account aanmaakt!
Je gebruikersnaam is: ###@gadgetgear.nl
Uw bevestigingscode is: ####Heb je niets opgevraagd en komt deze e-mail als een verrassing? Neem dan contact op met Tele2 Klantenservice<https://tele2.nl/klantenservice>.
We houden contact.
Tele2
12-06-2023 De helpdesk
Vanmorgen namen we contact op met de helpdesk van Tele2. Daar gaven ze aan dat het klachten regende over deze mails. Ze zouden begonnen zijn vlak nadat het IT team van Tele2 weekend is gaan vieren en de klachten zijn keurig bewaard voor vandaag om verwerkt te worden. De helpdesk medewerker was niet heel goed getraind in het ophalen van informatie die een IT dienst nodig heeft om opsporing te verrichten. De helpdesk wilde enkel een screenshot van de phishing mail. De helpdesk kon niet met heel veel zekerheid verklaren of ik wel of niet een account heb.
12-06-2023 Persrelaties
Na ons contact met de helpdesk, hebben we contact gezocht met de PR van Tele2. Daar hebben we alle mails inclusief alle data en bevindingen ingeleverd. We wachten op updates vanuit Tele2.
Wat kun jij doen?
Meld je klacht bij Tele2, maar ook bij FraudeHelpdesk.nl. Door uitgebreid data te verzamelen, komen ze mogelijk verder in het onderzoek.
3 reacties
Hi!
Ik heb precies dezelfde e-mail ontvangen info@service.tele2.nl.
Omdat ik het e-mail adres ging googelen en zag dat het wel een e-mailadres van tele2 is, heb ik toch op de link tele2 klantenservice geklikt. Dit omdat ik geen klant ben en ook niet wil worden.
Begrijp ik het goed dat ik hierdoor geen virus oid op mijn iPhone heb gekregen, maar dat men dus hoopte dat ik het account zou activeren?
Het lijkt er inderdaad op dat er op een account activatie werd gehoopt. Een zogenaamde vorm van social engineering waarbij je er zelf voor zou kunnen zorgen dat iemand bijvoorbeeld namens jou over een werkend abonnement op jouw rekening zou kunnen beschikken. Geen idee hoe de backoffice van Tele2 is en welke vormen van misbruik allemaal mogelijk zouden kunnen zijn zo.
Tja, net zo’n zelfde email gekregen vanuit noreply@tele2.nl
Lastige is dat ik in verleden wel een account had, en je toch geneigd bent het te controleren. Gelukkig kon ik als in de email met cursor over de linkjes in de tekst heen ging zien dat deze verwezen naar “uclck.ru” en dat is natuurlijk uiterst verdacht. Wat ik nu wel weet is dat ik niet snel klant zou worden bij Tele2 aangezien zij zelf geen klantenservice email contact hebben waarbij je dit rechtstreeks kunt melden. Daarnaast gebeurt het wel vaker dat de officiele email addressen van bedrijven worden “gestolen” waarmee bijna “echte” emails worden verstuurd. Erg tricky.