Seriöst e-brev men ändå fake?

[ChristerE]

Fick ett e-brev under kvällen som först såg ut att kunna vara spam men innehållet verkade seriöst, så vad skulle jag tro om brevet. Postar en "rapport" ifall den intresserar någon.

Visningsnamnet för avsändaradressen var "M Sverige" och ämnesfältet innehöll "Din livräddare på vägen: Bilnödkit du kan lita på". Det kan ju verka seriöst men avsändaradressen var letters@cafe.com så vad var då detta. Öppnade brevet för säkerhets skull som oformaterad text. Efter lite googlande verkade det uppenbart att domänen och CAFE är högst seriöst och brevet såg ut som ett nyhetsbrev med information om artiklar och podcasts, m m.
https://cafe.com/
https://cafe.com/about-us/
Men varför i så fall det avvikande visningsnamnet för avsändaradressen och det irrelevanta innehållet i ämnesfältet?

Utskicket innehöll textstycken med t ex följande innehåll, och googlar man dessa rader så får man sökträffar för cafe.com.
"Jack Smith has failed in his obsessive quest to try Donald Trump before"
och
"The Supreme Court will start its new term on Monday"

En tanke kan vara att få mottagaren att klicka på någon länk och sen luras att ange diverse kontouppgifter. Vanligtvis tycker jag spam som är bedrägeriförsök är korkade, väldigt lätta att avslöja, men detta ser riktigt seriöst ut förutom visningsnamnet för avsändaradressen och ämnesfältet som inte alls stämmer med innehållet i brevet.

I slutet av brevet står det "You are receiving this email because you opted in via our website.", vilket jag inte alls har gjort.

Många länkar i brevet har med Mailchimp att göra och en länk för att avregistrera sig ser ut att vara seriös. Men ett par i slutet går till domänen synthego.lat. Googlar domänen men får ingen träff, men den verkar vara nyregistrerad för vid kontroll med Whois så anges den vara registrerad för bara några dagar sedan.
https://www.whois.com/whois/synthego.lat

Kollar jag egenskaper/"internethuvud" för e-brevet står där bl a (jag har några telia-adresser):
Return-Path: <telia@keogan.site>
och
Authentication-Results: mail.telia.com;
    dmarc=fail header.from=cafe.com;
    dkim=fail header.i=letters@cafe.com;
    spf=none smtp.mailfrom=keogan.site
Received-SPF: none (ts201-smtpin77.ddc.teliasonera.net: domain keogan.site
 does not designate permitted sender hosts) identity=mailfrom;

Ska det tolkas som att avsändaren inte är vad som påstås, eller ...?

Domänen keogan.site är också relativt nyregistrerad.
https://www.whois.com/whois/keogan.site

Som sagt, postar en "rapport" ifall den intresserar någon.
Och var ska tråden placeras om inte under ämnet Café. 😁

[Mikael63]

https://msverige.se/sa-tycker-vi/nyheter/bluffmejl-fran-motormannen/

[ChristerE]

6 timmar sedan, Mikael63 sade:

https://msverige.se/sa-tycker-vi/nyheter/bluffmejl-fran-motormannen/

I mejlet som jag fick står inget om någon vinst eller om undersökningen. Det såg helt okej ut förutom visningsnamnet för avsändaradressen och innehållet i ämnesfältet som inte stämde med innehållet i mejlet, och de två domäner jag nämnde i slutet av förra inlägget. Mitt fokus låg på detta och jag hade ingen tanke på att kolla om några hört av sig till "M Sverige", det var ju uppenbart att det inte kom från dem.

Det ser ut som någon använt ett mejlutskick från CAFE, angett visningsnamn och ämne som har med "M Sverige" att göra, och spoofat avsändaradressen. Men vad skulle avsikten vara?

Spoofing – Wikipedia
Vad är spoofing och hur kan man skydda sig själv? | NordVPN

Mitt Outlook (klassiska skrivbordsversionen) blockerar länkar avsedda att automatiskt hämta bilder från servrar. Borde vara riskfritt att läsa mejlen som html-formaterade men jag gjorde en backup av datorn för säkerhets skull så kan jag visa hur mejlet ser ut, början av det. M Sveriges logga finns inte direkt i mejlet och jag ser inte att någon av länkarna skulle hämta/visa loggan. (Länkar kan vara personifierade så därför döljer jag delar för säkerhets skull.)
 

[ChristerE]

Någon dag senare kom ett till likadant mejl, fast med annat visningsnamn för avsändaradressen, annat innehåll i ämnesfältet och ett par länkar i slutet för domänen synthego.lat hade annat innehåll. I övrigt ett identiskt "nyhetsbrev".

Man kan undra vad syftet med dessa mejl är.

 

Så kom ett till mejl i veckan som passar här i tråden, tar med det också och frågar om någon fått ett motsvarande (någon i forumet med Telia-adresser, eller eventuellt med andra mejladresser).

Det är inte uppenbart bluff som många bluffmejl där det påstås att något konto blivit attackerat och att information blivit exponerad, eller med andra kommentarer. Men mejlet är märkligt och jag undrar vad avsändaren är ute efter.

Det ser ut att komma från Telia, avsändaradressen ser okej ut (se bild) och jag ser inget konstigt i egenskaper/"internethuvud" för mejlet. I mejlet finns ett antal länkar som börjar https://click.crm.telia.se/?qs=... som rimligtvis går till Telias servrar. Ett par har med de två "kryssen" i den större bilden nedan att göra (Outlook blockerar access till servrarna).

Men informationen i mejlet är märklig. Det man betalar för är ju e-postlådor, om de sen hanteras via webbmejl eller med POP eller IMAP i något e-postprogram är en annan sak. Uppdateras gränssnittet för webbmejl så är det inget de kan ta betalt för, och höjs priset för e-posttjänsten/e-postlådorna så har det inte specifikt med webbmejlen att göra.

I botten av den större bilden står det:
"Informationen i det här brevet baseras på ditt avtal 23 september 2024. Har du gjort förändringar efter det gäller den senaste informationen du fått."
Något nytt avtal känner jag inte till och loggar jag in till Mitt Telia finns inget där om detta.

Men det här mejlet skickades inte till den mejladress som spridits och som de flesta bluffmejlen eller diverse spam kommer till. Det här mejlet skickades till den mejladress jag använder för mer "seriösa kontakter" och som finns angiven bland kontaktinformationen hos Telia. Så är det faktiskt Telia som skickat detta märkliga mejl?

 

(Har inte tagit mig tid att kontakta Telia än, men ska nog göra det vid tillfälle.)

 

[Mikael63]

Varför skulle Telia skicka mail från telia.se? Även de själva borde väl ha telia.com?

Såg för övrigt detta i min Telia-låda:

 

Jag får enbart skräppost till den adressen...

 

[ChristerE]

3 timmar sedan, Mikael63 sade:

Varför skulle Telia skicka mail från telia.se? Även de själva borde väl ha telia.com?

Det kan man förstås fråga sig. Jag har sett Telia använda .se-adresser sedan många år tillbaka och undrat varför Telia inte använder .com-adresser och att vi som kunder får .se-adresser för våra e-postlådor.

Telia använder själva både .se- och .com-adresser, t ex:

teliainfo@telia.se
E-post till Telia - Telia.se
(Se "E-post till Telia" längst ned på sidan www.telia.se.)

Avsändaradresser som vi använder
E-postmeddelanden som skickas från Telia, och således är okej att öppna, kommer från e-postadresser som slutar på:
telia.crm-ts.com
teliacompany.com
telia.se
Varning för bluffmejl och falska sms – Telia Företag

Tänkte att crm.telia.se ju slutar med telia.se och skulle därmed kunna vara en adress som Telia använder. Men så råkade jag få träff på följande noreply-adresser och där finns noreply@crm.telia.se med.

Det är jättebra att du är uppmärksam Joachim, bluffmejl förekommer tyvärr. Jag skickar med en lista över alla mejladresser vi använder:
noreply@crm.telia.se
noreply@telia.crm-ts.com
noreply@teliacompany.com
noreply@telia.se
noreply@scrive.com
https://x.com/TeliaSverige/status/1620417297256161283

Förutom de uppräknade avsändaradresserna, och den först nämnda info-adressen att skicka till, så har jag vid något tillfälle skickat till:
support.doman@telia.se
Telia Domännamn – Telia Företag
och fick svar från:
servicedesk@support.telia.se

Hittade också denna .se-adress:
support.webbhotell@telia.se
Telia Support Domän- & webbhotell – Telia Support Domän- & webbhotell