Anrufe von 5199362832664 - Piraterie?

[Tippfehler]

Hallo,
heute Nacht wurde ich von einem Anruf mit der Absenderkennung 5199362832664 unsanft geweckt. Außer Schweigen war nichts zu hören. Nachdem heute Vormittag noch ein Anruf mit dieser Nummer rein kam, habe ich mal nach dieser Nummer gegoogelt.
Es handelt sich wohl um einen Telefonpiraten, der übers Internet versucht, VOIP-Router zu mißbrauchen. Das kann eine hohe Telefonrechnung zur Folge haben. Welche Router betroffen sind, kann ich leider nicht sagen, aber bei Asterisk ist es bei falscher Programmierung leicht möglich, die Anlage zu übernehmen. Um diese Piraterie zu vermeiden, hatte ich mein Asterisk so programmiert, dass auf jeden Fall ein Telefon klingelt und der Anrufer nicht rauswählen kann, falls ich mich bei einer Regel vertippt habe. Inzwischen habe ich diese Nummer natürlich gesperrt. Es kam aber auch kein Anruf mehr rein. [EDIT inzwischen hatte ich diese Nummer wieder ein paar Mal im log.]
Im Internet steht, dass es der Anrufer bei manchen Betroffenen alle 20 Minuten wieder probiert.
Ich empfehle Jedem, diese Rufnummer in seine Sperrliste für ankommende Rufe mit aufzunehmen und evtl. auch Rufe nach Peru zu sperren.

[kombjuder]

Zitat:

Zitat von Tippfehler

Ich empfehle Jedem, diese Rufnummer in seine Sperrliste für ankommende Rufe mit aufzunehmen und evtl. auch Rufe nach Peru zu sperren.

Er kam bei mir über ein patton auf den asterisk. Asterisk zeigte sich allerdings äusserst unwillig.

Anrufversuche waren bei mir zu us-Nummern. so alle 20 Min kann hinkommen.

Gefunden worden kann das Patton eigentlich nur über gezielte scanns.

[blacksun]

Zitat:

Zitat von Tippfehler

Es handelt sich um einen Telefonpiraten, der übers Internet versucht, VOIP-Router zu mißbrauchen. Das kann eine hohe Telefonrechnung zur Folge haben. Welche Router betroffen sind, kann ich leider nicht sagen, aber bei Asterisk ist es bei falscher Programmierung leicht möglich, die Anlage zu übernehmen.

Hallo,

Wie soll das funktionieren? Nur weil jemand bei Dir anruft entstehen Dir doch keine Kosten. Und seit den Lockanrufen von 0137xxx-Nummern weiß doch hoffentlich jeder, dass man nicht blind jede Rufnummer zurückruft, ohne sich vorher zu erkundigen, was das Telefonat kostet.

[Tippfehler]

z. B. durch mehrere Anrufe direkt hintereinander innerhalb von hundertstel Sekunden, kann das System aus dem Tritt kommen, manche Router rufen dann automatisch zurück. http://www.teltarif.de/forum/a-freenet/405-2.html
Bei manchen VOIP-Routern, z. B. Asterisk ist in der Standardkonfiguration für einen Rausruf keine Authentifizierung nötig (z. B. so wie bei sendmail). Wer es erstmal ins System geschafft hat, kann beliebig Nummern wählen, z. B. 0900.
Hier gibt es inzwischen sieben Seiten:
http://whocallsme.com/Phone-Number.aspx/5199362832664/7
Eine Sperrung der Nummer im Router bringt wohl nichts. Mir brachte sie immerhin eine erholsame Nacht, denn der Anrufer war wieder mehrmals im Log.

[frank_m24]

Hallo,

ich bin offengestanden verwirrt über das Rufnummern-Format. Kein führende "0" oder gar "00". Damit müsste es theoretisch ein Ortsgespräch sein ...

Ich denke, da wird die Caller-ID gefälscht. Hat man überhaupt schon irgendwo zuverlässig herausgefunden, woher die Anrufe kommen?

[sunyracer]

woher diese nummer stammt bleibt offen nur ist das netz voll mit berichten davon. egal ob sie aus den usa oder russland stammen. alle berichten das selbe. abzocke!

[sunyracer]

wie auch immer.... das ganze sieht sehr nach abzocke aus. werden wir uns wohl daran gewöhnen müssen das diverse kriminelle elemente versuchen durch die verbreitung der voip technologie ihren vorteil zu erzielen.

das mit den dialern klappt ja praktisch nicht mehr.

[Denkermatic]

Hallo,

seit dem 05.09.08 laufen auch auf meinem Asterisk Server derartige Anrufe über meine 1&1 VoIP Nr. auf. Anrufer ist immer 5199362832664. Mir ist noch nicht klar wie, aber es wird jedesmal ein Rückruf an verschiedene Nummern ausgelöst. Kostenpunkt bei 1&1 pro Anruf 0.79 €.

Ich habe jetzt den ausgehenden Nr.-Kreis gesperrt, weiss aber immer noch nicht warum Asterisk ohne mein zutun rauswählt.

Hatte jemand schon ein ähnliches Problem?

ist das nicht eher ein asterisk - problem ( phänomen ? )

[Timmbo]

Hi,

das wird an Deinem Dialplan liegen.
Hast Du in [default] irgendwo ein include=dialout o.ä. stehen?

Grüße
Timm

[DirkNRW]

Hallo zusammen,

ich frage mich gerade wie diese Anrufer gerade auf Eure IP gekommen sind. Durch Portscans von Providernetzen? Oder habt Ihr Eure IPs für SIP P2P bzw ENUM irgendwo bekanntgegeben?

Ich frage aus folgendem Hintergrund: Ich betreibe zu wissenschaftlichen Zwecken ein Asterisksystem, dass möglichst viele Anrufe für SPIT- oder "Toll fraud"-Auswertungen entgegennehmen soll. Allerdings halten sich die Anrufe zur Zeit noch in Grenzen. Falls Ihr eine Idee habt, wie man die SIP URI meines Systems gut veröffentlichen kann, so dass viele Anrufversuche zu Stande kommen, wäre ich Euch dankbar.

Viele Grüße,
Dirk

sip:99111@voiptdr.homeip.net

[kombjuder]

Zitat:

Zitat von DirkNRW

Durch Portscans von Providernetzen? Oder habt Ihr Eure IPs für SIP P2P bzw ENUM irgendwo bekanntgegeben?

Ich habe einigens an IP veröffentlicht. Diese jedoch nirgendwo. Ich benutzte die "angegriffene" ip nur für interne Zwecke.

[Tippfehler]

Der letzte Anruf war gestern um 1.18 Uhr. Um 3.31 Uhr bekam ich eine neue IP zugewiesen und es war Ruhe. Es werden wohl eher zufällig bestimmte IP-Bereiche probiert.

[woprr]

Zitat:

Zitat von Denkermatic

Mir ist noch nicht klar wie, aber es wird jedesmal ein Rückruf an verschiedene Nummern ausgelöst.

also wenn er das nicht belegen kann, schlag ich vor, der thread geht in die "quasselecke" bevor sich die massenpanik weiter ausbreitet

das einzigste was ich dazu bisher gelesen hab, was hand und fuss hat, is das:

http://whocallsme.com/Phone-Number.aspx/5199362832664/8

Zitat:

Leute, leute
entspannt euch. Die Anrufe kommen von einem Provider aus Bulgarien. Es handelt sich dabei um SPIT. Die Anrufe kommen alle von der IP 213.130.74.70
http://www.db.ripe.net/whois?form_type=simple ... t=213.130.74.70
Es wird offensichtlich ein Script benutzt, das XLite verwendet um zu testen ob Eure Router als Gateway ins Telefonnetz verwendet werden können. Als Absendenummer wird 51993628.... verwendet. Das ist von der Übermittlung her eine ORTSNETZNUMMER, soll die BNetzA jetzt in allen Ortsnetzen diese Nummer sperren?
wenn Ihr kein SPIT haben wollt konfiguriert Eure Router richtig, dann hört der Spass auf.

dem stimm ich zu bis auf die "ortsnetznummer".

[blacksun]

Zitat:

Zitat von Tippfehler

z. B. durch mehrere Anrufe direkt hintereinander innerhalb von hundertstel Sekunden, kann das System aus dem Tritt kommen, manche Router rufen dann automatisch zurück. http://www.teltarif.de/forum/a-freenet/405-2.html
Bei manchen VOIP-Routern, z. B. Asterisk ist in der Standardkonfiguration für einen Rausruf keine Authentifizierung nötig (z. B. so wie bei sendmail). Wer es erstmal ins System geschafft hat, kann beliebig Nummern wählen, z. B. 0900.

Hallo zusammen,

genau deshalb habe ich gefragt. Denn das mit den Anrufen ist nicht ein Problem, um welches sich die BNetzA kümmern muss. Und auch nicht der Provider. Zumindest was zusätzliche Kosten angeht.
Wenn jemand nicht in der Lage ist, seinen Router bzw. seinen Asterisk richtig zu konfigurieren, dann ist er selbst Schuld, wenn Kosten entstehen.
Wenn jemand dazu nicht in der Lage ist, dann darf er eben keinen Router bzw. Asterisk betreiben bzw. das dann von jemandem einrichten lassen, der das kann.

Wenn es z.B. um die Einrichtung von CallThrough geht, dann richtet man dieses auch nur mit PIN ein. Denn sich nur auf die Rufnummernübermittlung verlassen, das kann auch nach hinten losgehen. Denn jemand muss nur zufüllig diese Nummer erraten (z.B. Handynummer aus irgend einem Social Network wie StudiVZ, ICQ, usw.), schon kann er diese aus seinem Account falsch übermitteln lassen und dann kann er auch auf eure Kosten telefonieren.

Die Rufnummer wird ganz normal zum Festnetz-Tarif für Peru abgerechnet. Also nichts mit Abzocke-Rufnummer. Ruft einfach mal mit einem Provider an, der einem den Preis vorher ansagt, dann werdet ihr's sehen.

Der eigentliche Angriff wird denke ich erst später erfolgen. Das ganze jetzt soll denke ich nur dazu dienen, die Router und Asteriske zu finden, die falsch konfiguriert sind, indem mit der Rufnummer in Peru geschaut wird, welche Rufnummern dort versucht haben anzurufen.

Aber wiegesagt das mit den Rückrufen ist ganz allein euer Problem, nicht das von BNetzA, Provider usw.

Nicht umsonst steckt vielleicht im Namen von Asterisk das "Risk" mit drin.

[Tippfehler]

Ich habe nichts dagegen, wenn dieser Thread in die Quasselecke verschoben wird, denn es gibt ja bisher nur Mutmaßungen, was passieren könnte. Bisher sind die entstanden Kosten wohl überschaubar. Um was für eine Nummer es sich handelt, weiß auch Keiner genau. Der Telefonanschluß in Peru könnte auch zu den Opfern gehören.
Unter Spit verstehe ich aber etwas Anderes, denn der Anrufer hat mir bisher nicht versucht, etwas zu verkaufen.
Für mich waren die Anrufe einfach nur nervig.

[blacksun]

was aber noch interessieren könnte:

von Asterisk wissen wir nun schon, dass der betroffen sein könnte. Aber welche Router haben denn dieses "Rückrufproblem"?

[woprr]

woher wissen wir das denn? ich hab noch keine security meldung bei digium dazu gefunden.
alles hörensagen unter dem letzten link oben. keine referenz auf wirklich belegendes.

vielleicht will da mal wieder einer freenet anschwärzen, von bulgarien aus.

und einen der das angeblich mit nem windows-script und dem closed source x-lite machen muss weil er kein C/C++ kann um OSS VoIP-software umzuprogrammieren würd ich ned wirklich gefährlich nennen ^^

[andreas]

Zitat:

Zitat von woprr

dem stimm ich zu bis auf die "ortsnetznummer".

In allen Logfiles habe ich immer folgende Einträge gefunden:
02:12:42 SIP_TR> [GW] < Stack: from 213.130.74.70:3808
INVITE sip:810525551690000@1.2.3.4;transport=udp SIP/2.0
Via: SIP/2.0/UDP 213.130.74.70:3808;branch=100100101101011111101110 00100213.130.74.701.2.3.41863480914;rport
Max-Forwards: 100
From: <sip:5199362832664@1.2.3.4>;tag=21671132663-4985269162167113266321671132663213.130.74.70
To: <sip:810525551690000@1.2.3.4>
Call-ID: 83764811100011101110010010110101101100111001001011 0101111110111000100213.130.74.701.2.3.41863480914f df23881052555169000021671132663-4509759162167113266321671132663213.130.74.70174046 6380
CSeq: 1 INVITE
Contact: <sip:fdf238@213.130.74.70:3808;transport=udp>
Content-Type: application/sdp
Allow: ACK, BYE, CANCEL, INFO, INVITE, MESSAGE, NOTIFY, OPTIONS, PRACK, REFER, REGISTER, SUBSCRIBE, UPDATE, PUBLISH
User-Agent: X-Lite release 1006e stamp 34025
Content-Length: 394

Wo steht da was mit einem "+" oder wo sind die führenden Nullen, die mir zeigen dass das ein Anschluß im Ausland ist?

Die Anrufe müssten demnach auf so ziemlich allen Displays als "5199362832664" angezeigt worden sein und das ist vom Aufbau der Nummer eine Ortsnetznummer und selbst wenn da mal ein + gewesen sein sollte... Der Rückruf vom Telefon erfolgt i.d.R. über den persönlichen Provider der Wahl auf die Nummer, die im Display steht und sollte dementsprechend zu 519..... im persönlichen Ortsnetz gehen.

Vielleicht kann ja mal jemand seine Logs posten, das wäre sicherlich zielführender als hier in wilde Panik zu verfallen, zur Polizei zu rennen und von dubiosen Rückrufen zu berichten......

Ansonsten bin ich eher für die Rubrik "Spasszeug"

[woprr]

die anrufe sind ja ned das problem, es geht um die behauptung, dass die einen nicht autorisierten rausruf erreichen könnten.