Anrufe von 5199362832664 - Piraterie?

Tippfehler

IPPF-Promi
Mitglied seit
14 Sep 2004
Beiträge
3,212
Punkte für Reaktionen
21
Punkte
38
Hallo,
heute Nacht wurde ich von einem Anruf mit der Absenderkennung 5199362832664 unsanft geweckt. Außer Schweigen war nichts zu hören. Nachdem heute Vormittag noch ein Anruf mit dieser Nummer rein kam, habe ich mal nach dieser Nummer gegoogelt.
Es handelt sich wohl um einen Telefonpiraten, der übers Internet versucht, VOIP-Router zu mißbrauchen. Das kann eine hohe Telefonrechnung zur Folge haben. Welche Router betroffen sind, kann ich leider nicht sagen, aber bei Asterisk ist es bei falscher Programmierung leicht möglich, die Anlage zu übernehmen. Um diese Piraterie zu vermeiden, hatte ich mein Asterisk so programmiert, dass auf jeden Fall ein Telefon klingelt und der Anrufer nicht rauswählen kann, falls ich mich bei einer Regel vertippt habe. Inzwischen habe ich diese Nummer natürlich gesperrt. Es kam aber auch kein Anruf mehr rein. [EDIT inzwischen hatte ich diese Nummer wieder ein paar Mal im log.]
Im Internet steht, dass es der Anrufer bei manchen Betroffenen alle 20 Minuten wieder probiert.
Ich empfehle Jedem, diese Rufnummer in seine Sperrliste für ankommende Rufe mit aufzunehmen und evtl. auch Rufe nach Peru zu sperren.
 
Zuletzt bearbeitet:

kombjuder

IPPF-Promi
Mitglied seit
2 Nov 2004
Beiträge
3,086
Punkte für Reaktionen
0
Punkte
0
Ich empfehle Jedem, diese Rufnummer in seine Sperrliste für ankommende Rufe mit aufzunehmen und evtl. auch Rufe nach Peru zu sperren.

Er kam bei mir über ein patton auf den asterisk. Asterisk zeigte sich allerdings äusserst unwillig.

Anrufversuche waren bei mir zu us-Nummern. so alle 20 Min kann hinkommen.

Gefunden worden kann das Patton eigentlich nur über gezielte scanns.
 

blacksun

Mitglied
Mitglied seit
10 Jul 2005
Beiträge
541
Punkte für Reaktionen
1
Punkte
18
Es handelt sich um einen Telefonpiraten, der übers Internet versucht, VOIP-Router zu mißbrauchen. Das kann eine hohe Telefonrechnung zur Folge haben. Welche Router betroffen sind, kann ich leider nicht sagen, aber bei Asterisk ist es bei falscher Programmierung leicht möglich, die Anlage zu übernehmen.

Hallo,

Wie soll das funktionieren? Nur weil jemand bei Dir anruft entstehen Dir doch keine Kosten. Und seit den Lockanrufen von 0137xxx-Nummern weiß doch hoffentlich jeder, dass man nicht blind jede Rufnummer zurückruft, ohne sich vorher zu erkundigen, was das Telefonat kostet.
 

Tippfehler

IPPF-Promi
Mitglied seit
14 Sep 2004
Beiträge
3,212
Punkte für Reaktionen
21
Punkte
38
z. B. durch mehrere Anrufe direkt hintereinander innerhalb von hundertstel Sekunden, kann das System aus dem Tritt kommen, manche Router rufen dann automatisch zurück. http://www.teltarif.de/forum/a-freenet/405-2.html
Bei manchen VOIP-Routern, z. B. Asterisk ist in der Standardkonfiguration für einen Rausruf keine Authentifizierung nötig (z. B. so wie bei sendmail). Wer es erstmal ins System geschafft hat, kann beliebig Nummern wählen, z. B. 0900.
Hier gibt es inzwischen sieben Seiten:
http://whocallsme.com/Phone-Number.aspx/5199362832664/7
Eine Sperrung der Nummer im Router bringt wohl nichts. Mir brachte sie immerhin eine erholsame Nacht, denn der Anrufer war wieder mehrmals im Log.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,668
Punkte für Reaktionen
16
Punkte
38
Hallo,

ich bin offengestanden verwirrt über das Rufnummern-Format. Kein führende "0" oder gar "00". Damit müsste es theoretisch ein Ortsgespräch sein ... :gruebel:

Ich denke, da wird die Caller-ID gefälscht. Hat man überhaupt schon irgendwo zuverlässig herausgefunden, woher die Anrufe kommen?
 

sunyracer

Neuer User
Mitglied seit
5 Jul 2005
Beiträge
92
Punkte für Reaktionen
0
Punkte
0
woher diese nummer stammt bleibt offen nur ist das netz voll mit berichten davon. egal ob sie aus den usa oder russland stammen. alle berichten das selbe. abzocke!
 

sunyracer

Neuer User
Mitglied seit
5 Jul 2005
Beiträge
92
Punkte für Reaktionen
0
Punkte
0
wie auch immer.... das ganze sieht sehr nach abzocke aus. werden wir uns wohl daran gewöhnen müssen das diverse kriminelle elemente versuchen durch die verbreitung der voip technologie ihren vorteil zu erzielen.

das mit den dialern klappt ja praktisch nicht mehr.
 

Denkermatic

Neuer User
Mitglied seit
14 Aug 2008
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo,

seit dem 05.09.08 laufen auch auf meinem Asterisk Server derartige Anrufe über meine 1&1 VoIP Nr. auf. Anrufer ist immer 5199362832664. Mir ist noch nicht klar wie, aber es wird jedesmal ein Rückruf an verschiedene Nummern ausgelöst. Kostenpunkt bei 1&1 pro Anruf 0.79 ¤.

Ich habe jetzt den ausgehenden Nr.-Kreis gesperrt, weiss aber immer noch nicht warum Asterisk ohne mein zutun rauswählt.

Hatte jemand schon ein ähnliches Problem?
 
H

helgolander

Guest
ist das nicht eher ein asterisk - problem ( phänomen ? )
 

Timmbo

Aktives Mitglied
Mitglied seit
6 Nov 2005
Beiträge
1,935
Punkte für Reaktionen
0
Punkte
0
Hi,

das wird an Deinem Dialplan liegen.
Hast Du in [default] irgendwo ein include=dialout o.ä. stehen?

Grüße
Timm
 

DirkNRW

Neuer User
Mitglied seit
22 Okt 2007
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich frage mich gerade wie diese Anrufer gerade auf Eure IP gekommen sind. Durch Portscans von Providernetzen? Oder habt Ihr Eure IPs für SIP P2P bzw ENUM irgendwo bekanntgegeben?

Ich frage aus folgendem Hintergrund: Ich betreibe zu wissenschaftlichen Zwecken ein Asterisksystem, dass möglichst viele Anrufe für SPIT- oder "Toll fraud"-Auswertungen entgegennehmen soll. Allerdings halten sich die Anrufe zur Zeit noch in Grenzen. Falls Ihr eine Idee habt, wie man die SIP URI meines Systems gut veröffentlichen kann, so dass viele Anrufversuche zu Stande kommen, wäre ich Euch dankbar.

Viele Grüße,
Dirk

sip:[email protected]
 

kombjuder

IPPF-Promi
Mitglied seit
2 Nov 2004
Beiträge
3,086
Punkte für Reaktionen
0
Punkte
0
Durch Portscans von Providernetzen? Oder habt Ihr Eure IPs für SIP P2P bzw ENUM irgendwo bekanntgegeben?

Ich habe einigens an IP veröffentlicht. Diese jedoch nirgendwo. Ich benutzte die "angegriffene" ip nur für interne Zwecke.
 

Tippfehler

IPPF-Promi
Mitglied seit
14 Sep 2004
Beiträge
3,212
Punkte für Reaktionen
21
Punkte
38
Der letzte Anruf war gestern um 1.18 Uhr. Um 3.31 Uhr bekam ich eine neue IP zugewiesen und es war Ruhe. Es werden wohl eher zufällig bestimmte IP-Bereiche probiert.
 

woprr

Aktives Mitglied
Mitglied seit
10 Jun 2007
Beiträge
2,997
Punkte für Reaktionen
7
Punkte
38
Mir ist noch nicht klar wie, aber es wird jedesmal ein Rückruf an verschiedene Nummern ausgelöst.

also wenn er das nicht belegen kann, schlag ich vor, der thread geht in die "quasselecke" bevor sich die massenpanik weiter ausbreitet ;)

das einzigste was ich dazu bisher gelesen hab, was hand und fuss hat, is das:

http://whocallsme.com/Phone-Number.aspx/5199362832664/8
Leute, leute
entspannt euch. Die Anrufe kommen von einem Provider aus Bulgarien. Es handelt sich dabei um SPIT. Die Anrufe kommen alle von der IP 213.130.74.70
http://www.db.ripe.net/whois?form_type=simple ... t=213.130.74.70
Es wird offensichtlich ein Script benutzt, das XLite verwendet um zu testen ob Eure Router als Gateway ins Telefonnetz verwendet werden können. Als Absendenummer wird 51993628.... verwendet. Das ist von der Übermittlung her eine ORTSNETZNUMMER, soll die BNetzA jetzt in allen Ortsnetzen diese Nummer sperren?
wenn Ihr kein SPIT haben wollt konfiguriert Eure Router richtig, dann hört der Spass auf.

dem stimm ich zu bis auf die "ortsnetznummer".
 

blacksun

Mitglied
Mitglied seit
10 Jul 2005
Beiträge
541
Punkte für Reaktionen
1
Punkte
18
z. B. durch mehrere Anrufe direkt hintereinander innerhalb von hundertstel Sekunden, kann das System aus dem Tritt kommen, manche Router rufen dann automatisch zurück. http://www.teltarif.de/forum/a-freenet/405-2.html
Bei manchen VOIP-Routern, z. B. Asterisk ist in der Standardkonfiguration für einen Rausruf keine Authentifizierung nötig (z. B. so wie bei sendmail). Wer es erstmal ins System geschafft hat, kann beliebig Nummern wählen, z. B. 0900.

Hallo zusammen,

genau deshalb habe ich gefragt. Denn das mit den Anrufen ist nicht ein Problem, um welches sich die BNetzA kümmern muss. Und auch nicht der Provider. Zumindest was zusätzliche Kosten angeht.
Wenn jemand nicht in der Lage ist, seinen Router bzw. seinen Asterisk richtig zu konfigurieren, dann ist er selbst Schuld, wenn Kosten entstehen.
Wenn jemand dazu nicht in der Lage ist, dann darf er eben keinen Router bzw. Asterisk betreiben bzw. das dann von jemandem einrichten lassen, der das kann.

Wenn es z.B. um die Einrichtung von CallThrough geht, dann richtet man dieses auch nur mit PIN ein. Denn sich nur auf die Rufnummernübermittlung verlassen, das kann auch nach hinten losgehen. Denn jemand muss nur zufüllig diese Nummer erraten (z.B. Handynummer aus irgend einem Social Network wie StudiVZ, ICQ, usw.), schon kann er diese aus seinem Account falsch übermitteln lassen und dann kann er auch auf eure Kosten telefonieren.

Die Rufnummer wird ganz normal zum Festnetz-Tarif für Peru abgerechnet. Also nichts mit Abzocke-Rufnummer. Ruft einfach mal mit einem Provider an, der einem den Preis vorher ansagt, dann werdet ihr's sehen.

Der eigentliche Angriff wird denke ich erst später erfolgen. Das ganze jetzt soll denke ich nur dazu dienen, die Router und Asteriske zu finden, die falsch konfiguriert sind, indem mit der Rufnummer in Peru geschaut wird, welche Rufnummern dort versucht haben anzurufen.

Aber wiegesagt das mit den Rückrufen ist ganz allein euer Problem, nicht das von BNetzA, Provider usw.

Nicht umsonst steckt vielleicht im Namen von Asterisk das "Risk" mit drin.
 

Tippfehler

IPPF-Promi
Mitglied seit
14 Sep 2004
Beiträge
3,212
Punkte für Reaktionen
21
Punkte
38
Ich habe nichts dagegen, wenn dieser Thread in die Quasselecke verschoben wird, denn es gibt ja bisher nur Mutmaßungen, was passieren könnte. Bisher sind die entstanden Kosten wohl überschaubar. Um was für eine Nummer es sich handelt, weiß auch Keiner genau. Der Telefonanschluß in Peru könnte auch zu den Opfern gehören.
Unter Spit verstehe ich aber etwas Anderes, denn der Anrufer hat mir bisher nicht versucht, etwas zu verkaufen.
Für mich waren die Anrufe einfach nur nervig.
 
Zuletzt bearbeitet:

blacksun

Mitglied
Mitglied seit
10 Jul 2005
Beiträge
541
Punkte für Reaktionen
1
Punkte
18
was aber noch interessieren könnte:

von Asterisk wissen wir nun schon, dass der betroffen sein könnte. Aber welche Router haben denn dieses "Rückrufproblem"?
 

woprr

Aktives Mitglied
Mitglied seit
10 Jun 2007
Beiträge
2,997
Punkte für Reaktionen
7
Punkte
38
woher wissen wir das denn? ich hab noch keine security meldung bei digium dazu gefunden.
alles hörensagen unter dem letzten link oben. keine referenz auf wirklich belegendes.

vielleicht will da mal wieder einer freenet anschwärzen, von bulgarien aus.

und einen der das angeblich mit nem windows-script und dem closed source x-lite machen muss weil er kein C/C++ kann um OSS VoIP-software umzuprogrammieren würd ich ned wirklich gefährlich nennen ^^
 
Zuletzt bearbeitet:

andreas

Mitglied
Mitglied seit
29 Mrz 2004
Beiträge
485
Punkte für Reaktionen
0
Punkte
16
dem stimm ich zu bis auf die "ortsnetznummer".

In allen Logfiles habe ich immer folgende Einträge gefunden:
02:12:42 SIP_TR> [GW] < Stack: from 213.130.74.70:3808
INVITE sip:[email protected];transport=udp SIP/2.0
Via: SIP/2.0/UDP 213.130.74.70:3808;branch=10010010110101111110111000100213.130.74.701.2.3.41863480914;rport
Max-Forwards: 100
From: <sip:[email protected]>;tag=21671132663-4985269162167113266321671132663213.130.74.70
To: <sip:[email protected]>
Call-ID: 837648111000111011100100101101011011001110010010110101111110111000100213.130.74.701.2.3.41863480914fdf23881052555169000021671132663-4509759162167113266321671132663213.130.74.701740466380
CSeq: 1 INVITE
Contact: <sip:[email protected]:3808;transport=udp>
Content-Type: application/sdp
Allow: ACK, BYE, CANCEL, INFO, INVITE, MESSAGE, NOTIFY, OPTIONS, PRACK, REFER, REGISTER, SUBSCRIBE, UPDATE, PUBLISH
User-Agent: X-Lite release 1006e stamp 34025
Content-Length: 394

Wo steht da was mit einem "+" oder wo sind die führenden Nullen, die mir zeigen dass das ein Anschluß im Ausland ist?

Die Anrufe müssten demnach auf so ziemlich allen Displays als "5199362832664" angezeigt worden sein und das ist vom Aufbau der Nummer eine Ortsnetznummer und selbst wenn da mal ein + gewesen sein sollte... Der Rückruf vom Telefon erfolgt i.d.R. über den persönlichen Provider der Wahl auf die Nummer, die im Display steht und sollte dementsprechend zu 519..... im persönlichen Ortsnetz gehen.

Vielleicht kann ja mal jemand seine Logs posten, das wäre sicherlich zielführender als hier in wilde Panik zu verfallen, zur Polizei zu rennen und von dubiosen Rückrufen zu berichten......

Ansonsten bin ich eher für die Rubrik "Spasszeug"
 

woprr

Aktives Mitglied
Mitglied seit
10 Jun 2007
Beiträge
2,997
Punkte für Reaktionen
7
Punkte
38
die anrufe sind ja ned das problem, es geht um die behauptung, dass die einen nicht autorisierten rausruf erreichen könnten.
 
Zuletzt bearbeitet:

Zurzeit aktive Besucher

3CX

Statistik des Forums

Themen
237,896
Beiträge
2,102,571
Mitglieder
360,402
Neuestes Mitglied
baguenth

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via