SWISSCOM hat heute meinen Internetzugang zum wiederholten Male wegen Spam-Emails, die angeblich von meinem Anschluss ausgingen, gespert. Erstmals erfolgte eine solche Sperre im Herbst letzten Jahres, dann anfangs Jahr und wiederum vor ca. 3 Wochen und jetzt wieder. Sämtliche Security Checks auf allen meinen Endgeräten ergaben keinen Hinweis auf Malware oder einen Virus. Also rufe ich jeweils die Swisscom Hotline an, erkläre des langen und breiten, dass ich keine Schadsoftware fand, und dann schaltet mir ein freundlicher Mitarbeiter meinen Anschluss wieder frei. Allerdings platzt mir langsam der Kragen, denn Swisscom kann wohl Protokolle von Spam-Mails zustellen, ist aber nicht in der Lage, eine Aussage zur Art der Schadsoftware und erst recht nicht zur Quelle (MAC-Adresse etc.) zu machen. Ich bin der Meinung, dass die Sperrung eines Kunden-Anschlusses nur als Ultimo Ratio eingesetzt werden darf, und das immer erst NACH Rücksprache mit dem Kunden. So wie es jetzt läuft, stellt Swisscom den Kunden unter Generalverdacht und bietet Null Unterstützung - ausser man ist bereit, für die individuelle Problembehebung viel Geld zu bezahlen. Ein Schelm, der hier Böses denkt! Bevor ich zu Swisscom wechselte war ich mehrjähriger Internet-Kunde bei UPC und hatte die exakt gleiche Endgeräte-Konfiguration. Ich habe zu keiner Zeit erlebt, dass mein Anschluss beanstandet oder gar gesperrt wurde, das scheint eine Spezialität des Staatsbetriebes Swisscom zu sein. Andere Provider könnten sich ein solches Verhalten gegenüber ihren Kunden wohl kaum leisten, denke ich. Mein Vorschlag an Swisscom: 1\. Den Kunden ernst nehmen, auch wenn es sich um das Massengeschäft handelt. 2\. Keine Sperre des Internetzugangs ohne vorherige Ankündigung und Kontaktaufnahme. 3\. Den Kunden proaktiv und ohne kostenpflichtigen "Service" bei der Störungssuche unterstützen. 4\. Mit erfolgtem schriftlichen Einverständnis des Kunden (Datenschutz!) Analyse der Quelle einer Störung, Mitteilung der MAC-Adresse des verursachenden Gerätes. Mich würde interessieren, ob andere betroffene Swisscom-Kunden meine persönliche Einschätzung teilen und was eurer Meinung nach getan werden kann, damit Swisscom dieses aus meiner Sicht unhaltbare Verhalten endlich ändert. Wie mir schien, sind die Mitarbeitenden des zuständigen Swisscom-Servicecenters mit dem Status Quo ebenfalls alles andere als glücklich, man mache nur, was das "Abuse-Team" (Security) angeordnet habe, wurde mir gesagt.

@"vormirdieSinflut"#1025844 Die Frage ist natürlich, was für eine Missbrauchssperre du erhalten hast: \- Kompromittiertes Konto (glaube nicht, da müsstest du SC Login PW und Mail PW ändern) \- Outbound Spam (Eine Messaging Dienst im Heimnetz ballert Spam in die Welt raus) \- Malware (Schadsoftware) Ich tendiere hier eher zu einer Malware oder oder zu Spamverbreitung (verursacht durch Malware). Der IP-Wechsel nützt in dem Fall nichts, sobald die Malware nach aussen kommuniziert oder sonst was macht, wird der Anschluss umgehend gesperrt (geschieht auch in 30 Sekunden). Beim Spamhaus landest du, weil andere internationale ISPs die IP-Adresse melden, nicht nur Swisscom. Swisscom wird von diesen ISP's kontaktiert, damit wir das unterbinden. Hierfür gibt es diverse Gesetzesartikel: Bei Spam: [§ FMG Art 45a](https://www.admin.ch/opc/de/classified-compilation/19970160/index.html#a45a) [§ FDV Art 83](https://www.admin.ch/opc/de/classified-compilation/20063267/index.html#a83) Bei Angriff: [§ StGB Art 114](https://www.admin.ch/opc/de/classified-compilation/19370083/index.html#a144) [§ StGB Art 144](https://www.admin.ch/opc/de/classified-compilation/19370083/index.html#a144bis) Hast du keine Infos erhalten, um welche Malware es sich handelt? In der Regel ist im Kundenverlauf ein Anhang mit den Infos enthalten, was für eine Sperre gesorgt hat. Ansonsten bitte nochmals die Hotline kontaktieren und Infos zum Sperrgrund erfragen. Gruss Chris

Bedenklich ist das der Datenstream von Swissvom analysiert wird. In deinem Fall kann es sein, dass du eine VPN Lösung verwendest um zB. Geo IP Bloackaden zu umgehen. Diese gratis VPN Verbindungen werden aber auch genutzt um über die Client Seite Spam zu verteilen. Was noch das harmloseste wäre was man sich so vorstellen könnte 😂

Ergänzung: Swisscom müsste doch in der Lage sein, mittels eines Spam-Filters / Firewall offensichtliche Spam-Mails zu erkennen und gar nicht durchzulassen / weiterzuleiten. Oder stelle ich mir das zu einfach vor?

Ja indem die Quell IP gesperrt wird. In diesem Fall dein Anschluss.

> * * * > > @"Tux0ne"#939 schrieb: > > In deinem Fall kann es sein, dass du eine VPN Lösung verwendest um zB. Geo IP Bloackaden zu umgehen. > > Nein, verwende ich nicht. Allerdings habe ich einen kleinen Windows-Server und darauf laufend eine "Media center-Software" im Einsatz, aber auch da konnte ich keinerlei Schadsoftware festellen. Bleibt noch Team Viewer, das auf der Mehrheit der Geräte installiert ist, aber diese hoch professionelle Software ist für mich ausserhalb jedes Verdachts.

> * * * > > @"Tux0ne"#939 schrieb: > > Ja indem die Quell IP gesperrt wird. In diesem Fall dein Anschluss. > > * * * Genau. Das ist eben die bequeme Brachial-Lösung. Vergleichbar mit einem einzelnen undichten Wasserhahn, bei dem das Wasserwerk einfach das Wasser einer ganzen Siedlung abstellt und die Kunden dazu auffordert, sämtliche Leitungen auf Wasserverlust hin zu überprüfen. Erst dann wird der Hauptschieber wieder geöffnet.

Nein das ist der normale Vorgang. Mein IDS/IPS arbeitet auch so. Was interessieren da die genauen Details? Seltsames Vorkommen, IP Sperren fertig. Apropos Teamviewer. Das ist bei den Netzwerken wo ich einen security Auftrag habe auch blockiert. Die Tendenz ist das viele Geräte einen Wartungszugang haben. Teamviewer gehört zu einer brachialen Lösung die auch missbräuchlich genutzt werden kann. Der Moment von wtf Teamviewer funktioniert nicht erlebe ich selten live. Stelle mir das aber lustig vor. Die Frage die ich mir stelle ist, soll ein ISP Daten analysieren und SPAM blockierwn. Bis dato finde ich diese Tendenz nicht begrüssenswert. Mit ein Grund warum man heutzutage alles verschlüsseln sollte.

> * * * > > @"SC-Client"#961432 schrieb: > > Bleibt noch Team Viewer, das auf der Mehrheit der Geräte installiert ist, aber diese hoch professionelle Software ist für mich ausserhalb jedes Verdachts. > > * * * Bei dieser "hoch professionellen Software" welche "ausserhalb jeden Verdachtes" steht wurden allerdings in der Vergangenheit mehrfach gravierende Sicherheitslücken festgestellt. Ich würde da mit etwas mehr Misstrauen an die Sache herangehen... wenn man einfach allem vertraut, wird man den allfälligen Infektionsvektor schwer finden. Der Rest wurde ja bereits gesagt (und findet sich auch x-fach in identischen Threads von denen es einige in diesem Forum gibt); \- Nein, Swisscom kann dir NICHT sagen welches Gerät betroffen ist, denn Swisscom anaylsiert nur den Datenstrom zwischen deinem Router und der "Zentrale", jedoch nicht innerhalb deines Netzwerkes. \- Dass es sich potentiell um einen "Fehlalarm" handelt, hält die Swisscom für extrem unwahrscheinlich bis unmöglich. Wenn es eine Sperrung gibt, dann ist diese (gem. Swisscom) begründet. Meine persönliche Erfahrung bei Kunden ist, dass man eigentlich immer die Ursache findet, auch wenn der Kunde selber nichts gefunden hat. (Ein, zwei Ausnahmen bestätigen die Regel. Aber das waren Fälle in welchen die Kunden nicht genügend Arbeitszeit investieren wollten, d.h. hätten wir weiter suchen können, hätten wir allenfalls durchaus noch was gefunden.) Am besten legst du noch dar mit welchen Mitteln du versucht hast die Infektion zu finden. Dann kann man dir allenfalls noch ein paar Tipps geben, was man sonst noch versuchen könnte. (Wobei das wie gesagt hier in identischen Threads alles auch schon das eine oder andere Mal ausführlich erläutert wurde.)

Hallo @"Pliettieffet37"#963906 Hast du evt Android Tablets im Einsatz? Oder hast du deine Android Geräte gerootet? Hast du dort evt auch Whatsup oder andere Messanger installiert, welche nicht vom offiziellen Playe Store sind. Denn nicht jede APP welche man installiert macht auch das was sie vorgibt. Evt macht sie in Hintergrund Dinge von der du nichts wissen solltest. Teilst du dein WLAN mit deinem Nachbar usw..... Gruss Lorenz

Hallo Leute Also ich habe dasselbe Problem seit Herbs 2020. Immer wieder wurde mir^der Internetanschluss geseprrt. Ich habe dann alle erdenklichen Massnahmen getroffen. Sämtliche Geräte im Netzwerk auf Wekseinstellung zurückgesetzt und neu aufgesetzt. Sogar TV-Geräte oder WLanboxen im Netzwerk zurückgesetzt und anstelle der Default-PAsswärter Eigene Passwörter vergeben. Sogar neue PC gekauft und ins Netzwerk gestellt. Und trotzdem wurde mir immer wieder der Internetanschluss gesperrt. Komisch war auch, dass ich nach langem hin und her eine neue IP-Adresse erhalten habe, aber kaum habe ich das telefon mit dem Support von Swisscom agehängt stand ich schon wieder auf der Blackliste bei Smamhaus. Kann ja nicht sein 2 Min, nach Umstellung. Ich habe auch Teamviewer bei oben beschrieben. Setze Internet Security von Kaspersky ein wo auch so ein VPN Schutz enthalten ist. Und je mehr die einen sperren, je mehr solcher scheiss-Tools installiert man sogar auf Hinweise von Swisscom Supporter und je schlimmer wirds. Da wird einem erzählt, dass seit Februar mit der aktuellsten Frimware die Geräte markiert werden, die Schadsoftware enthalten können. Der nächste Swisscom-fritze sagt dann wieder das sei nicht so weit. Jeder sagt was anderes. Ich bin echt kurz davor den ganzen Scheiss zu wechseln.

Internetzugang wiederholt gesperrt

Werner

@Hauseunteuth11

Hast Du irgendwelche Ports von der Internetbox auf das NAS weitergeleitet, oder das NAS in die DMZ-Zone der Internetbox gestellt?

Hauseunteuth11

Werner

Ja, ich hatte via Swisscom DynDns auf die Synology weitergeleitet, damit ich nicht über das QuickConnect von Synology gehen muss, sondern direkt über meine eigene Leitung.

Werner

@Hauseunteuth11

Der DynDNS ist nicht das Problem, aber das unverschlüsselte Web-Interface der Syno über Port 5000 direkt aus dem Internet zugreifbar zu machen ist natürlich eine direkte Einladung für jedes Hacker-Nachwuchs-Kid.

Die dauernd im Internet offene Ports suchenden Bots finden so etwas aktuell bereits innerhalb von Minuten und meistens beginnen dann schon innerhalb der ersten Stunde die ersten Eindringungsversuche.

Es kann also sehr gut sein, dass jemand mit einem Passwort-Cracker-Programm direkt über das Login Deines NAS hinweggekommen ist, und damit vollen Zugang auf Dein NAS erlangt hat, damit wäre dann Dein NAS als komplett kompromittiert zu betrachten.

Als erstes würde ich nun mal darüber nachdenken, welche vertraulichen Daten da drauf sind oder waren, und ob Du irgendwelche Schadenvermeidungsmassnahmen wie Sperrungen von anderen Accounts, oder Kreditkarten, oder abhängig davon was da vielleicht an Daten gestohlen worden ist, auch immer vornehmen solltest.

Um das Risiko des ev. Hacks mit dem zusätzlich möglichen Datendiebstahl abschätzen zu können, gehst Du am besten mal vom Worst-Case aus, nämlich dass alle Deine Daten komplett kopiert wurden und nun von Kriminellen, welche Du nie kennenlernen wirst, beliebig missbraucht werden können.

Hauseunteuth11

Hatte die Zugriffe geprüft, dass passte alles im Protokoll.

Zusätzlich habe ich den Login Schutz drin, wenn du 5x das falsche Passwort nutzt, wirst du unbefristet gesperrt.

Dazu habe ich pauschal gewisse IP Bereiche auch gesperrt.

Damit hielten sich ungewollte Zugriffe von unbekannten Anschlüssen sehr zurück.

Werner

Und noch als Nachtrag:

Falls das Protokoll auf Deiner Syno noch verfügbar wäre, und es nicht schon durch Deine bisherigen "Korrekturversuche" gelöscht worden ist, würde ich das Protokoll mal darauf untersuchen, ob es da Benutzeranmeldungen gibt, welche zeitlich unmöglich von Dir selbst stammen können.

Dies würde natürlich helfen bei einer Risikoeinschätzung des entstandenen Schadens.

Werner

Das Web-Interface eines Routers oder eines NAS direkt aus dem Internet öffentlich zugänglich zu machen, ist Security-mässig ein absolutes No-Go, und deshalb ist z.B. auch der Web-Zugriff auf die Internetbox bereits in der Firmware absolut blockiert und man kann wirklich nur über eine zusätzlich abgesicherte VPN-Verbindung aus dem Internet auf das Web-Interface der IB zugreifen.

Genau so, sollte man das auch mit dem Webinterface eines NAS handhaben.

Das Dir im Protokoll selbst nichts aufgefallen ist, gibt übrigens keinerlei Gewissheit darüber was genau passiert ist, denn mit dem vollen Zugriff auf das NAS, kann man selbstverständlich auch jeden verdächtigen Protokolleintrag sofort wieder löschen.

Hauseunteuth11

Ich habe auf meinem Rechner, wie auf der NAS zwar persönliche Dinge liegen, aber nichts aus der Kategorie "Kann mir schaden".

Also Bankdaten etc.

Es wäre dann vielleicht nicht schön ein ungewollter Zugriff, aber es nicht nicht dramatisch.

Hauseunteuth11

Kurzes Feedback:

Gestern alles neu eingerichtet.

Nach den aktuellen üblichen Sicherheitsstandards.

Jetzt sollte alles relativ sicher sein.

r00t

Hi @Hauseunteuth11

Ich hoffe, mit aktuell üblichen Standards meinst du Zugriff via VPN - und nicht Port 5001? 😉

Ob ich als Angreifer eine Sicherheitslücke via HTTP oder HTTPS ausnutze, spielt mir nicht so eine Rolle. 😁

r00t

Werner

Was neben der von @r00t bereits erwähnten VPN-Verbindung für die grundsätzliche Sicherheit der Syno auch noch empfehlenswert ist:

- ersetzen des vorinstallierten Users "admin" durch einen eigenen persönlichen User

- zusätzliches Absichern des Verwaltungs-GUI der Syno durch Einschalten der 2FA, z.B. mittels zusätzlicher Codeeingabe des Google Authentifikators

- falls noch nicht eingeschaltet, aktivieren der Syno-eigenen Firewall und dabei die zugelassenen Zugriffe auf das notwendige Minimum beschränken

Fleijupiet92

Das selbe geschiet bei und und dies in den letzten 3 Monaten. Ohne irgend welchen Support zumindest wurde uns ein euer Router zu gestellt. Aber das Problem ist weiterhin nicht gelöst. Bei den lästigen Telefonen wird einem immer nur gesagt das wir ein verrseuchtes Gerät haben aber dies ist nach reichlicher Suche und Prüfungen nicht richtig. Also was soll das ganze nur weil eine KI es so sieht wird nicht reagiert und behauptet es liege an Kunden. Sorry das geht gar nicht.

gian

SC-Client

SC-Client Bleibt noch Team Viewer, das auf der Mehrheit der Geräte installiert ist, aber diese hoch professionelle Software ist für mich ausserhalb jedes Verdachts.

Da wäre ich mir nicht so sicher. Teamviewer und ähnliche Software verwende ich aus bekannten Sicherheitsgründen nicht, genau so wie ich auch Twitter, Facebook & Co auf keinem Smartphone nutze. Ich verwende nur Threema, das sehr sicher ist und auch vom Bund im Verkehr mit Botschaften usw. verwendet wird und auch beim Militär die einzige erlaubte App dieser Art ist

Ich nutze nun seit über 20 Jahren das Swisscom Internet und hatte noch nie irgend eine Sperre erlebt. Auch mit dem Service am Telefon war ich immer sehr zufrieden und es fand sich immer schnell eine Lösung bei den seltenen Problemen mit dem Internet, Blue-TV und den mobilen Geräten. Da bin ich von anderen Anbieter, die ich von Swisscom nutze, mehr schlecht als recht halfen, anderes gewohnt. Das war auch der Grund des Wechsels damals zu Swisscom.

Swisscom sperrt sicher keine Internetzugänge einfach nur so zum Spass.

Lori-77 Denn nicht jede APP welche man installiert macht auch das was sie vorgibt. Evt macht sie in Hintergrund Dinge von der du nichts wissen solltest.

Richtig, zum Beispiel ist auch die TEMU-App unter Verdacht geraten, zuviele Daten abzusaugen. Irgendwie muss ja die zu billige Ramschware auch finanziert werden, z.B. mit Handel gestohlener Daten.

« Vorherige Seite