SWISSCOM hat heute meinen Internetzugang zum wiederholten Male wegen Spam-Emails, die angeblich von meinem Anschluss ausgingen, gespert. Erstmals erfolgte eine solche Sperre im Herbst letzten Jahres, dann anfangs Jahr und wiederum vor ca. 3 Wochen und jetzt wieder. Sämtliche Security Checks auf allen meinen Endgeräten ergaben keinen Hinweis auf Malware oder einen Virus. Also rufe ich jeweils die Swisscom Hotline an, erkläre des langen und breiten, dass ich keine Schadsoftware fand, und dann schaltet mir ein freundlicher Mitarbeiter meinen Anschluss wieder frei. Allerdings platzt mir langsam der Kragen, denn Swisscom kann wohl Protokolle von Spam-Mails zustellen, ist aber nicht in der Lage, eine Aussage zur Art der Schadsoftware und erst recht nicht zur Quelle (MAC-Adresse etc.) zu machen. Ich bin der Meinung, dass die Sperrung eines Kunden-Anschlusses nur als Ultimo Ratio eingesetzt werden darf, und das immer erst NACH Rücksprache mit dem Kunden. So wie es jetzt läuft, stellt Swisscom den Kunden unter Generalverdacht und bietet Null Unterstützung - ausser man ist bereit, für die individuelle Problembehebung viel Geld zu bezahlen. Ein Schelm, der hier Böses denkt! Bevor ich zu Swisscom wechselte war ich mehrjähriger Internet-Kunde bei UPC und hatte die exakt gleiche Endgeräte-Konfiguration. Ich habe zu keiner Zeit erlebt, dass mein Anschluss beanstandet oder gar gesperrt wurde, das scheint eine Spezialität des Staatsbetriebes Swisscom zu sein. Andere Provider könnten sich ein solches Verhalten gegenüber ihren Kunden wohl kaum leisten, denke ich. Mein Vorschlag an Swisscom: 1. Den Kunden ernst nehmen, auch wenn es sich um das Massengeschäft handelt. 2. Keine Sperre des Internetzugangs ohne vorherige Ankündigung und Kontaktaufnahme. 3. Den Kunden proaktiv und ohne kostenpflichtigen “Service” bei der Störungssuche unterstützen. 4. Mit erfolgtem schriftlichen Einverständnis des Kunden (Datenschutz!) Analyse der Quelle einer Störung, Mitteilung der MAC-Adresse des verursachenden Gerätes. Mich würde interessieren, ob andere betroffene Swisscom-Kunden meine persönliche Einschätzung teilen und was eurer Meinung nach getan werden kann, damit Swisscom dieses aus meiner Sicht unhaltbare Verhalten endlich ändert. Wie mir schien, sind die Mitarbeitenden des zuständigen Swisscom-Servicecenters mit dem Status Quo ebenfalls alles andere als glücklich, man mache nur, was das “Abuse-Team” (Security) angeordnet habe, wurde mir gesagt.

@vormirdieSinflut Die Frage ist natürlich, was für eine Missbrauchssperre du erhalten hast: - Kompromittiertes Konto (glaube nicht, da müsstest du SC Login PW und Mail PW ändern) - Outbound Spam (Eine Messaging Dienst im Heimnetz ballert Spam in die Welt raus) - Malware (Schadsoftware) Ich tendiere hier eher zu einer Malware oder oder zu Spamverbreitung (verursacht durch Malware). Der IP-Wechsel nützt in dem Fall nichts, sobald die Malware nach aussen kommuniziert oder sonst was macht, wird der Anschluss umgehend gesperrt (geschieht auch in 30 Sekunden). Beim Spamhaus landest du, weil andere internationale ISPs die IP-Adresse melden, nicht nur Swisscom. Swisscom wird von diesen ISP’s kontaktiert, damit wir das unterbinden. Hierfür gibt es diverse Gesetzesartikel: Bei Spam: § FMG Art 45a § FDV Art 83 Bei Angriff: § StGB Art 114 § StGB Art 144 Hast du keine Infos erhalten, um welche Malware es sich handelt? In der Regel ist im Kundenverlauf ein Anhang mit den Infos enthalten, was für eine Sperre gesorgt hat. Ansonsten bitte nochmals die Hotline kontaktieren und Infos zum Sperrgrund erfragen. Gruss Chris

Bedenklich ist das der Datenstream von Swissvom analysiert wird. In deinem Fall kann es sein, dass du eine VPN Lösung verwendest um zB. Geo IP Bloackaden zu umgehen. Diese gratis VPN Verbindungen werden aber auch genutzt um über die Client Seite Spam zu verteilen. Was noch das harmloseste wäre was man sich so vorstellen könnte 😂

Ergänzung: Swisscom müsste doch in der Lage sein, mittels eines Spam-Filters / Firewall offensichtliche Spam-Mails zu erkennen und gar nicht durchzulassen / weiterzuleiten. Oder stelle ich mir das zu einfach vor?

Ja indem die Quell IP gesperrt wird. In diesem Fall dein Anschluss.

@Tux0ne schrieb: In deinem Fall kann es sein, dass du eine VPN Lösung verwendest um zB. Geo IP Bloackaden zu umgehen. Nein, verwende ich nicht. Allerdings habe ich einen kleinen Windows-Server und darauf laufend eine “Media center-Software” im Einsatz, aber auch da konnte ich keinerlei Schadsoftware festellen. Bleibt noch Team Viewer, das auf der Mehrheit der Geräte installiert ist, aber diese hoch professionelle Software ist für mich ausserhalb jedes Verdachts.

@Tux0ne schrieb: Ja indem die Quell IP gesperrt wird. In diesem Fall dein Anschluss. Genau. Das ist eben die bequeme Brachial-Lösung. Vergleichbar mit einem einzelnen undichten Wasserhahn, bei dem das Wasserwerk einfach das Wasser einer ganzen Siedlung abstellt und die Kunden dazu auffordert, sämtliche Leitungen auf Wasserverlust hin zu überprüfen. Erst dann wird der Hauptschieber wieder geöffnet.

Nein das ist der normale Vorgang. Mein IDS/IPS arbeitet auch so. Was interessieren da die genauen Details? Seltsames Vorkommen, IP Sperren fertig. Apropos Teamviewer. Das ist bei den Netzwerken wo ich einen security Auftrag habe auch blockiert. Die Tendenz ist das viele Geräte einen Wartungszugang haben. Teamviewer gehört zu einer brachialen Lösung die auch missbräuchlich genutzt werden kann. Der Moment von wtf Teamviewer funktioniert nicht erlebe ich selten live. Stelle mir das aber lustig vor. Die Frage die ich mir stelle ist, soll ein ISP Daten analysieren und SPAM blockierwn. Bis dato finde ich diese Tendenz nicht begrüssenswert. Mit ein Grund warum man heutzutage alles verschlüsseln sollte.

@SC-Client schrieb: Bleibt noch Team Viewer, das auf der Mehrheit der Geräte installiert ist, aber diese hoch professionelle Software ist für mich ausserhalb jedes Verdachts. Bei dieser “hoch professionellen Software” welche “ausserhalb jeden Verdachtes” steht wurden allerdings in der Vergangenheit mehrfach gravierende Sicherheitslücken festgestellt. Ich würde da mit etwas mehr Misstrauen an die Sache herangehen… wenn man einfach allem vertraut, wird man den allfälligen Infektionsvektor schwer finden. Der Rest wurde ja bereits gesagt (und findet sich auch x-fach in identischen Threads von denen es einige in diesem Forum gibt); - Nein, Swisscom kann dir NICHT sagen welches Gerät betroffen ist, denn Swisscom anaylsiert nur den Datenstrom zwischen deinem Router und der “Zentrale”, jedoch nicht innerhalb deines Netzwerkes. - Dass es sich potentiell um einen “Fehlalarm” handelt, hält die Swisscom für extrem unwahrscheinlich bis unmöglich. Wenn es eine Sperrung gibt, dann ist diese (gem. Swisscom) begründet. Meine persönliche Erfahrung bei Kunden ist, dass man eigentlich immer die Ursache findet, auch wenn der Kunde selber nichts gefunden hat. (Ein, zwei Ausnahmen bestätigen die Regel. Aber das waren Fälle in welchen die Kunden nicht genügend Arbeitszeit investieren wollten, d.h. hätten wir weiter suchen können, hätten wir allenfalls durchaus noch was gefunden.) Am besten legst du noch dar mit welchen Mitteln du versucht hast die Infektion zu finden. Dann kann man dir allenfalls noch ein paar Tipps geben, was man sonst noch versuchen könnte. (Wobei das wie gesagt hier in identischen Threads alles auch schon das eine oder andere Mal ausführlich erläutert wurde.)

Hallo @Pliettieffet37 Hast du evt Android Tablets im Einsatz? Oder hast du deine Android Geräte gerootet? Hast du dort evt auch Whatsup oder andere Messanger installiert, welche nicht vom offiziellen Playe Store sind. Denn nicht jede APP welche man installiert macht auch das was sie vorgibt. Evt macht sie in Hintergrund Dinge von der du nichts wissen solltest. Teilst du dein WLAN mit deinem Nachbar usw….. Gruss Lorenz

Hallo Leute Also ich habe dasselbe Problem seit Herbs 2020. Immer wieder wurde mir der Internetanschluss geseprrt. Ich habe dann alle erdenklichen Massnahmen getroffen. Sämtliche Geräte im Netzwerk auf Wekseinstellung zurückgesetzt und neu aufgesetzt. Sogar TV-Geräte oder WLanboxen im Netzwerk zurückgesetzt und anstelle der Default-PAsswärter Eigene Passwörter vergeben. Sogar neue PC gekauft und ins Netzwerk gestellt. Und trotzdem wurde mir immer wieder der Internetanschluss gesperrt. Komisch war auch, dass ich nach langem hin und her eine neue IP-Adresse erhalten habe, aber kaum habe ich das telefon mit dem Support von Swisscom agehängt stand ich schon wieder auf der Blackliste bei Smamhaus. Kann ja nicht sein 2 Min, nach Umstellung. Ich habe auch Teamviewer bei oben beschrieben. Setze Internet Security von Kaspersky ein wo auch so ein VPN Schutz enthalten ist. Und je mehr die einen sperren, je mehr solcher scheiss-Tools installiert man sogar auf Hinweise von Swisscom Supporter und je schlimmer wirds. Da wird einem erzählt, dass seit Februar mit der aktuellsten Frimware die Geräte markiert werden, die Schadsoftware enthalten können. Der nächste Swisscom-fritze sagt dann wieder das sei nicht so weit. Jeder sagt was anderes. Ich bin echt kurz davor den ganzen Scheiss zu wechseln.

Internetzugang wiederholt gesperrt

5018

Ja, einfach in den Router über 192.168.1.1 einwählen. Auf der Startseite nach dem Login siehst Du ja alle Geräte und wenn eines ein verdächtiges Verhalten aufweist, dann wird das Gerät wie geschrieben makiert.

DonPedro66

ich konnte keine Beta Version finden und mein Router ist auf dem neuesten Firmware-Stand….

Würde gerne wissen, welches Gerät den Aerger machen soll…

DonPedro66

@5018 fällt mir kein Gerät auf und einen Käfer finde ich auch nirgends

5018

Die Beta - Version ist inzwischen die normale Version, die auf Deinem Rechner installiert ist.

Wenn die IB noch kein Gerät als verdächtig eingestuft hat, dann heisst das nicht, dass nicht ein Gerät trotzdem den Ärger macht. Wie gesagt, die Funktion ist eine Hilfe, kann aber nicht 100% erkennen. Vielleicht braucht es auch mehr Zeit.

PowerMac

@DonPedro66 schrieb:

@PowerMac:. "…geht nicht heisst, dass ich keine Mails versenden kann (von allen Bluewin Mail-Adressen). Von den anderen GMX, Yahoo etc. funktioniert es tadellos.

Dass du keine Mails mit bluewin als Absenderdomain mehr versenden kannst hast du geschrieben. Aber erscheint eine Fehlermeldung oder nicht? Wenn ja, wie lautet sie? Wenn nein, “hängen” die Mails ewig im Postausgangsfach oder werden sie als versendet angezeigt und kommen nie an oder was geschieht sonst?

Der IP-Change (2x gemacht) hat nichts gebracht. Komischerweise kann man bei einem der PC’s im Netzt gar nichts mehr machen

Dann nimm einmal diesen einen PC von dem aus du gar nichts mehr machen kannst aus dem Netz und schau ob die Probleme verschwinden.

Ansonsten empfehle ich dir den anderen in der Fehlermeldung genannten Ansatz, nämlich den Beizug eines IT-Sicherheitsexperten. Falls du eine Cyberschadenversicherung hast (manche bieten das als Zusatz zur Hausrat-/Haftpflichtversicherung), melde dich bei dieser, die stellen dir evt. so einen Experten zur Verfügung und/oder übernehmen zumindest einen Teil der Kosten.

ChristianG

@DonPedro66 @5018

Natürlich wird aber nur was angezeigt, wenn eine Malware im Heimnetzwerk tätig ist. Falls es ein kompromittiertes Konto oder Spam aus dem Heimnetzwerk handelt, ist dies ein anderer Mechanismus.

Hast du ggf. mit Malwarebytes versucht? Da gibt es eine Trial Version.

Wie du erwähnt hast, wurde deine IP-Adresse gesperrt und ich vermute aus deinem Heimnetzwerk wird Spam in die Welt verbreitet. Mit der IP-Sperre wird dies verhindert.

Gruss

Chris

5018

@ChristianG: bist Du Dir sicher, dass IoT - Geräte bei der Erkennung aussen vor sind? Habe das nicht so in Erinnerung. Gerade dafür war ja die Erkennung gedacht. Vielleicht kannst Du mal mit @JonasB sprechen. Auch SPAM aus dem Heimnetzwerk (grosse Anzahl eMails z.B.) sollte doch auch als ungewöhnlich erkannt werden.

Wäre gut, wenn Ihr das mal klärt. Danke.

DonPedro66

@ChristianG @5018 @PowerMac Hatte grad ein äusserst unangenehmes Telefongespräch mit der Swisscom Hotline. Der Tonfall des Beraters war äusserst aggressiv und er hat mir wirklich das Gefühl vermittelt, als ob der Drahtzieher einer Cyberkriminellen Organisation wäre 😞

Vielen Dank für Eure guten Ratschläge. Ich/wir haben wirklich schon alles versucht (auch mit externer IT-Security Firma) aber wir kommen nicht weiter! Swisscom behauptet, es würden Spam Mail von meiner Adresse versendet. Einen Beweis (bspw. welche MAC-Adresse im Netz dies auslösen soll) kann mir aber niemand geben. Tatsächlich kann ich aber auch von der Firma in welcher ich arbeite keine Mail versenden (anderer PC, anderes Netz etc.). Malwarebytes, Sophos, Kaspersky und Avira konnten keine Bedrohungen feststellen…..

Ich denke, ich werde zu Sunrise wechseln…

vormirdieSinflut

Mir ging es genau gleich. Unkompetente Swisscom-Supporter die Ihre Kompetenz bei weitem überschätzen. Alles ist automatisiert, was natürlich in so einem grossen Unternehmen wie Swisscom verständlich ist. Doch die Prozesse sollten unbedingt überdacht werden. Wenn in der Privatwirtschaft so gearbeitet würde, dann wäre man schon längst bankrott. Für den Verkauf und die ständigen Umfragen kaum hat man den Telefonhörer abgelegt ist die Swisscom stark. Für konkrete Hilfeleistung ist sie schwach. Sehr schwach sogar.

WalterB

@DonPedro66

Werden Deine E-Mail Konten beim Link unten als bekannt angezeigt?

https://haveibeenpwned.com/

ChristianG

@WalterB @DonPedro66

Diese Link wird dir nicht dabei helfen herauszufinden, welches Gerät befallen ist. Zwar zeigt es dir vielleicht, wo deine Login Daten gestohlen wurden, aber diese Info würde eher beim kompromittiertem Konto helfen, aber nicht bei Malware oder Spam-Versand.

Auch Sunrise/UPC werden dich auch Sperren, wenn die Malware gegen aussen Spam verschickt. Auch da werden sicherlich gleiche Mechanismen im Einsatz sein.

Bitte nehmt zur Kenntnis, dass Swisscom wie alle anderen Schweizer ISPs gesetzlich dazu verpflichtet sind, diesen Spam-Versand zu unterbinden:

Unlautere Massenwerbung.

FMG Art 45a

FDV Art 83

Gruss

Chris

WalterB

ChristianG

Ja das ist klar gegen Schädlinge ist dieser Link nicht, aber es wäre interessant wer die Adressen publik gemacht hat, bei mir wurden vor ein paar Jahre die Bluewin E-Mail Adressen bei einem grossen Hack bei “Adobe” in das Netz gestellt.

N.b. Adobe hat die vielen Millionen gehackte Anwender überhaupt nicht informiert.

vormirdieSinflut

War bei mir dasselbe. Auch Adobe hatte meine Mailadresse glaub 2008 verteilt.

ChristianG

@WalterB

Ich wurde damals mit einem Mail informiert, dass mein Konto gesperrt sei und ich mit dem beigefügten Link das Passwort ändern müsse.

Meine Mailadresse, die ich für nicht sichere Seiten benutze wurde ca. 18x kompromittiert.

Gruss

Chris

WalterB

@ChristianG

Wurde selber noch nie gesperrt, aber habe so oder so eine eigenes Domain E-Mail Konto bei Hoststar wo ich über 100 E-Mail Adressen mit unterschiedlichen Passwörter erstellen kann, dementsprechend habe für Reise Angebote, Einkauf, Verkehr und Finanzen unterschiedliche E-Mail Adressen.

DonPedro66

@WalterB: Ja, zwei Email-Adressen werden als “gehackt” angzeigt. Das war aber schon vor ca. 1 Jahr der Fall und in der Zwischenzeit haben wir die PW gefühlte 50x verändert…(-> sehr sichere Pw’S)

DonPedro66

@ChristianG…ich habe ja gar nichts dagegen, dass Swisscom da so restriktiv ist mit den Filtern. Aber man müsste mir ja mal sagen, was ich tun kann und nicht einfach nur den Anschluss sperren. Gem. unseren Viren/Spam-Tools sind alle PC’s unauffällig…..

DonPedro66

@WalterB: Bei mir kam es scheinbar auch von Adobe hat mir unser IT-Security Mann gesagt….

DonPedro66

@WalterB @ChristianG @vormirdieSinflut @5018 @SC-Client: So, nun hat man mich heute morgen wieder entsperrt, ich lasse jetzt bewusst jeden Tag nur ein PC in’s Netz und dann schauen wir mal wann es wieder knallt 😉 Danke Euch allen….

PowerMac

@DonPedro66 schrieb:

[…] Vielen Dank für Eure guten Ratschläge. Ich/wir haben wirklich schon alles versucht (auch mit externer IT-Security Firma) aber wir kommen nicht weiter!

Dann würde ich dieser externen IT-Security-Firma einmal Dampf machen. Wobei zu bedenken ist dass mit dem Begriff “IT-Security-Firma” nicht der PC-Händler um die Ecke gemeint ist.

Swisscom behauptet, es würden Spam Mail von meiner Adresse versendet. Einen Beweis (bspw. welche MAC-Adresse im Netz dies auslösen soll) kann mir aber niemand geben. Tatsächlich kann ich aber auch von der Firma in welcher ich arbeite keine Mail versenden (anderer PC, anderes Netz etc.). Malwarebytes, Sophos, Kaspersky und Avira konnten keine Bedrohungen feststellen…..

Wenn ein PC erst einmal infiziert ist, kann man auch den genannten Antivirenprodukten nicht mehr vertrauen, da die Viren sich vor diesen verstecken können. Das Einzige was in so einem Fall vertrauenswürdige Resultate liefert ist ein Offlinescan (Stichworte Kaspersky Rescue Disc, Avira Rescue System). Aber auch dann: wenn eine Infektion festgestellt wurde, sollte das System komplett plattgemacht und neu installiert werden. Die Virus-Removal-Features lassen eigentlich immer irgendwelche Rückstände auf dem System zurück.

Was deine Mailversandprobleme angeht hast du immer noch nicht geschrieben wie sich das Problem konkret manifestiert (Fehlermeldungen, wo klemmen die Mails). _Und hast du die Mailpasswörter schon geändert?~ (Edit: gemäss deinen letzten Posts hast du das)

« Vorherige Seite Nächste Seite »