Dus.net gehackt!

Hallo cpuprofi,
gerne:

Modem: KabelBW, Router: TP-Link TL-WR1043ND mit DD-WRT, VoIP-TK-Anlage: keine, VoIP-Endgeräte: Gigaset C610 IP und S680IP
Wann der Hack gemacht wurde, können wir nicht wissen, nur wann der Exploit stattfand: 29.1.2014 zwischen 4:08 und 5:08 Uhr (Gesprächsbeginn).
Telefonnummer: +23221341506
Kosten wurden ohne Angabe von Gründen storniert.
 
Hallo publicom,

danke für Deine Angaben. Somit kann man bei Dir schon mal die Fritzbox als Problem ausschließen ;-)

Hast du den schon mal folgenden CT Artikel aus 21/2013 gelesen:

http://www.heise.de/ct/artikel/Aufstand-der-Router-1960334.html

Dort wird über eine (alte) Sicherheitslücke in der DD-WRT Firmware berichtet, die anscheinend immer noch für BOT-Netze genutzt wird!

Grüße
Cpuprofi
 
Hallo Cpuprofi,
das ist sehr interessant; vielen Dank.

Da der betroffene Account noch nicht in Benutzung und auch in keinem Endgerät programmiert war, schließe ich einen Abgriff über den Router aus.

Grüße
publicom
 
Hallo publicom,

...schließe ich einen Abgriff über den Router aus...

nicht unbedingt, der Router könnte durch "DNS redirection" manipuliert sein, so das die im betroffenen Netzwerk(en) genutzten PCs/Laptops/Smartphones per "Drive-by-Download" mit Malware/Trojaner/Virus/Keylogger verseucht wurden.

Daher mal meine Frage: habt Ihr mal den (zur Erstellung des betroffenen Dus.net Accounts) verwendeten PC/Laptop auf Malware/Trojaner/Virus/Keylogger untersucht?

Grüße
Cpuprofi
 
Hi,

Wer ist hier im Forum den jetzt wirklich von einem (angeblichen) Hack bei Dus.net betroffen?

Dann oute ich mich mal auch dazu und meld mich, bei mir.


Welche Hardware nutzt Ihr (Modem, Router, VoIP-TK-Anlage, VoIP-Endgeräte)?

Siehe Signatur.

Wann wurde der (angeblichen) Hack den gemacht (Datum, Uhrzeit)?

Zwischen dem 02.01.2014 und dem 27.01.2014. Bemerkt habe ich es erst ab 13.02.2014, da loggte sich mein Account auf der fritz.box nicht mehr ein, ich kam auch nicht mehr in mein Kundencenter an diesem Tag, und nahm Kontakt zum Support auf, die E-Mail Adresse wurde einmal am 26.01. geändert und am 13.02. noch mal.

Wo wurde den genau hin telefoniert (Telefonnummer)?

Am 27.01. um 11:56:34 Uhr bis 12:08:58 Uhr waren 8 Anrufe nach: +491377377736
Dann war das Konto im Minus. Es wurde 4 Mal aufgeladen per PayPal am 30+31.01. sowie 05.+10.02.2014 und auf ein neu fremd angelegtes Unterkonto transferiert, insgesamt 1050,- €, wovon 1049 € auf das Unterkonto gingen. Insgesamt 885 Anrufe wurden unternommen, ich führe die nicht hier alle auf, mal ein paar Nummern: +491377379408, +491377377734, +491377379230, +4950319749249, +4950319746257, +491377377690, +491377377710, +4915755174700, ...
Also meist T - Vote Call 0137 7 Nummern, insg. 970,33 €.

Musstet Ihr die Rechnung bezahlen (wenn nicht, wegen welcher Begründung nicht -> Was sagte Dus.net dazu)?

Nur die 8 Anrufe, für je 1,10 also 8,80 € minus 1 € der weniger zum Unterkonto verschoben wurde. Alles Andere wegen dieser PayPal Überweisung, die nicht erfolgte, nicht. Angeblich lag der Fehler bei mir. Trotz Fritz.Box, den Zugriff über das Internet habe ich noch nie freigegeben und genutzt und auch mein E-Mail Konto scheint nicht geknackt. Auch nach der BSI Seite nicht.

Vielleicht können wir so mehr Infos über die Problematik und deren genaue Ursachen gewinnen.

Das interessiert mich verständlicherweise auch, für mich sind die ca. 8 € schon ein Pappenstiel, Gott sei dank muß ich nicht Alles zahlen, dass hätte mich schon überfordert.
 
Nach heutigem Kenntnisstand ist die Fritzbox auch ohne eingeschalteten Fernzugang angreifbar (gewesen). Also ist die FB noch nicht aus dem Rennen. Wie dem auch sei, Fakt ist, Dus hätte ihre Kunden informieren müssen. Und das hat Dus bis heute noch nicht gemacht. :/
 
Hallo winter65,

erstmal danke für Deine Offenheit. Aber ich habe da noch ein paar Verständnisfragen an Dich:


...Es wurde 4 Mal aufgeladen per PayPal am 30+31.01. sowie 05.+10.02.2014...

......also 8,80 € minus 1 € der weniger zum Unterkonto verschoben wurde. Alles Andere wegen dieser PayPal Überweisung, die nicht erfolgte, nicht...

Von welchem Paypal-Account wurde den aufgeladen? Wurde Deiner oder ein fremder Paypal-Account zur Aufladung bei Dus.net benutzt?

...+4950319749249, +4950319746257...

Diese Telefonnummern gehören zu Kabel Deutschland, somit sollte man schon herausbekommen können, wem diese Tel.Nr. gehören. Hast Du schon eine Anzeige bei der Polizei gemacht?

...da loggte sich mein Account auf der fritz.box nicht mehr ein, ich kam auch nicht mehr in mein Kundencenter an diesem Tag...

Waren die Passwörter für die einzelnen SIP-Accounts und das Kundencenter von Dus.net vielleicht alle gleich?

...Trotz Fritz.Box, den Zugriff über das Internet habe ich noch nie freigegeben und genutzt...

Na, die Fritzboxen haben die Sicherheitslücke auch wenn der Fernzugriff ausgeschaltet ist. Nur ein Firmware-Update behebt diesen Fehler!

...auch mein E-Mail Konto scheint nicht geknackt. Auch nach der BSI Seite nicht...

Den der BSI-Test ist nur für die Zugehörigkeit zu einem (!) wenn auch sehr großem Botnet programmiert. Somit sagt dieser Test nicht viel aus...

Hast Du die an Deiner Fritzbox verwendeten PC's/Laptop's auf Malware/Trojaner/Virus/Keylogger untersucht?


Grüße
Cpuprofi
 
Von welchem Paypal-Account wurde den aufgeladen? Wurde Deiner oder ein fremder Paypal-Account zur Aufladung bei Dus.net benutzt?

Also von meinem nicht. Demnach offensichtlich ein fremder.? Oder ein Fakekonto, keine Aussage dazu, ich weiß es nicht. dus.net teilte mir nur mit, dass sei deren Problem und auf meinem PayPal konto fand sich kein Zugriff, der letzte von mir im Sept. 2013

Waren die Passwörter für die einzelnen SIP-Accounts und das Kundencenter von Dus.net vielleicht alle gleich?

Für das Hauptkonto ja, für das fremde Unterkonto keine Ahnung, habe ich gleich gelöscht, nicht erst noch probiert. Jetzt nicht mehr.

Hast Du die an Deiner Fritzbox verwendeten PC's/Laptop's auf Malware/Trojaner/Virus/Keylogger untersucht?

Also zumindest laut AVG und MS Security Essential die beiden Windows PCs ( Win7 und win98 ) nicht. Wobei, das heute auch nichts mehr zu sagen hat, wie ich neulich irgendwo las. Den Linuxrechner habe ich noch nicht getestet, mach ich mal. Wäre wohl selten, jedoch nicht unmöglich.
 
Diese Telefonnummern gehören zu Kabel Deutschland, somit sollte man schon herausbekommen können, wem diese Tel.Nr. gehören. Hast Du schon eine Anzeige bei der Polizei gemacht?i

Auch wenn 8 €s für mich viel ist, für die Strafverfolgung beginnt sie erst ab 50€. Allerdings habe ich zur Anzeige nicht die Kraft, noch Muße.
Da dus.net das Hauptproblem hat, gehe ich mal davon aus, die machen das.

Nur ein Firmware-Update behebt diesen Fehler!i

Schon klar, und bereits erfolgt. s. Sig.
 
Bei der Anzahl von angerufenen Nummern ist der Hintergrund des Hacks aber nicht wirklich erkennbar. Wenn nicht einer 150x ne 0137er Nummer angerufen hat um den einen Fernseher zu gewinnen :-Ö, wozu dann das Ganze...?
Also Script-Kiddies...?
 
Hallo winter65,

das kostenlose Antivirus Toolkit (MWAV)* 12.x ist für Windows 2000, Windows XP, Windows Vista, Windows 7 & Windows 2008 (32 & 64 - Bit OS kompatibel) verfügbar.

Siehe:

http://www.escanav.com/german/content/products/MWAV/escan_mwav.asp

Ansonsten haben die auch AntiVir-Tools für Linux, Mac, Android.

Grüße
Cpuprofi
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.