Telefon wählt plötzlich eine Ausländische Nummer

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
DSL? Da gab's schon freie Routerwahl.

Für das letzte Statement hätte ich gern weitere Belege (außer dem von mir erwähnten Telefonie-Fiasko Ende 2014).
 
Nichts gegen eure Diskussion, würde mich trotzdem freuen wenn der Threadstarter mit vielleicht neuen Erkenntnissen auch noch was hören lässt ;-)
Details über den Angriffsvektor in dieser Angelegenheit fände ich sehr aufschlussreich.
 
Ich hatte eben die Zeit, das von Dir, @IEEE, verlinkte Snom-Wiki aufzurufen ...

Ich habe das Gefühl, daß keine der dort erwähnten Sicherheiten aktiviert wurden. Wer beschäftigt sich denn damit, wenn das Telefon nur funktionieren soll?
 
Das mag sein. Einige der Maßnahmen kann man auch zum Beispiel gar nicht umsetzen, wenn man eine CTI / TAPI Software einsetzt, da diese ja ebenfalls auf diesen http Befehlssatz zugreift.
Ist ja in einem vertrauenswürdigen und halbwegs abgesicherten Netzwerk halb so wild.

Wenn es stimmt, dass die Anrufe per http eingekippt wurden, was ich für am wahrscheinlichsten halte, dann stellt sich halt die Frage wie der Angreifer auf das Telefon ran kam. Ich sehe hier nur zwei Möglichkeiten:
- der Angreifer war schon durch einen Trojaner oder ähnlichem im Netz oder
- er kam über das Internet ran, eben zum Beispiel durch ein unglückliches Portforwarding

Ich hab schon viele Fraud Fälle mitbekommen, einige davon auch hier im Forum von Betroffenen. Nie kam mir dabei einer unter, der direkt auf das Telefon los ging, weil dieses ja normalerweise nicht aus dem Internet erreichbar ist. Aber siehe da: Auf shodan findet man > 900 SNOM Geräte.
 
Mh, ich seh da eine massive Gefahr für Betriebe: Wenn Angreifer es schaffen, sich auf das Telefon des Chefs aufzuschalten und in seinem Namen Anrufe tätigen, ist das eine neue Form des "CEO-Fraud". Dann kann man sich nicht mal damit rausreden, daß der Anruf nicht passiert ist - das Log beim Telefonie-Anbieter (sei es extern oder intern) wird Datum, Uhrzeit, Anrufer (das Telefon des Chefs) und Ziel (die betrogene Firma) auflisten ...
 
Das wäre schon ein komplexerer Angriff, der weit mehr Resourcen erfordert.
Die unmittelbarere Gefahr ist der klassische Toll Fraud. Also der Angreifer ruft seine eigene Premium Rate Number an. Üblicherweise gleich ein zweites Mal und verbindet die beiden Anrufe miteinander (dann ist nämlich auch das Telefon wieder frei und bedienbar falls jemand anwesend ist, während der Angreifer doppelt jede Minute verdient). Und das ganze gleich nochmal und nochmal. Damit kann man über ein Wochenende locker 10.000 bis 20.000 EUR machen, sofern keine Erkennungsmechanismen des Providers greifen.
 
Zuletzt bearbeitet:
H'Sishi schrieb:
Für das letzte Statement hätte ich gern weitere Belege (außer dem von mir erwähnten Telefonie-Fiasko Ende 2014).
Zum Vergrößern anklicken....

Zu der Zeit als "NGN" noch frisch und neu war, gab es außer bei der Telekom gar keine SIP-Daten vom Provider. Kann ich mich jedenfalls nicht daran erinnern, statt dessen kamen gern irgendwelche Tools zum Einsatz, um die Daten irgendwie aus der per TR-069 provisionierten Provider-Kiste auszulesen und dann in die AVM-Kiste zu stecken.

Die Provider sahen - bis das TKG schließlich Jahre später die Routerfreiheit fixiert hat - jeweils die TAE-Buchse an ihrer Modemrouter-SIP-Client-Büchse als "passiven Abschlusspunkt" an. Und dann wäre es tatsächlich darauf angekommen, ob dein Telefon an dieser TAE-Nebenstelle die Nummer gewählt hat. Das ist nämlich egal, ob jemand den Modemrouter vom ISP gehackt hat, eine Kostenpflicht kann daraus nicht begründet werden. Ein Zwangsrouter hat auch Vorteile.

Ich hatte natürlich von Anfang an eigene Hardware - explizit nicht von AVM - eingesetzt, damit mir sowas nicht passiert. Auf meinem Router befanden sich nie irgendwelche SIP-Daten oder ein SIP-Client, das erledigte schon immer eine Cisco-Kiste. Es gab nur Prepaid-Accounts und als die DSL-Provider (wie O2) schließlich mit SIP-Daten um die Ecke kamen, habe ich diese nie benutzt, sondern Telefonie weiter über dus.net und sipgate abgewickelt (die Rufnummern waren längst wegportiert). Das Kostenrisiko war es einfach nicht wert.

Inzwischen habe ich gar keinen festen Anschluß mehr und SIP-Telefonie hat sich auch so gut wie komplett erledigt.
 
Es gibt mehrere Möglichkeiten, ausgehende Anrufe auf dem SNOM D785 zu blockieren. Eine Möglichkeit ist, die Rufnummernsperre für bestimmte Nummernbereiche oder Länder in den Telefon-Einstellungen zu aktivieren. Hierzu können Sie die folgenden Schritte ausführen:
  1. Öffnen Sie das Web-Interface des SNOM D785, indem Sie die IP-Adresse des Telefons in einem Webbrowser eingeben.
  2. Klicken Sie auf "Telefonie" und wählen Sie "Rufnummernsperren".
  3. Aktivieren Sie die Option "Rufnummernsperre einschalten".
  4. Geben Sie die Ländervorwahl oder den Nummernbereich ein, den Sie sperren möchten. Zum Beispiel könnten Sie "00" für alle internationalen Anrufe sperren.
  5. Klicken Sie auf "Speichern", um die Einstellungen zu übernehmen.
Alternativ könnten Sie auch die ausgehenden Anrufe vollständig deaktivieren, indem Sie die entsprechenden SIP-Konten im Telefon deaktivieren. Hierzu können Sie die folgenden Schritte ausführen:
  1. Öffnen Sie das Web-Interface des SNOM D785, indem Sie die IP-Adresse des Telefons in einem Webbrowser eingeben.
  2. Klicken Sie auf "Telefonie" und wählen Sie "SIP-Konten".
  3. Wählen Sie das Konto aus, für das Sie ausgehende Anrufe deaktivieren möchten.
  4. Deaktivieren Sie die Option "Anrufe erlauben".
  5. Klicken Sie auf "Speichern", um die Einstellungen zu übernehmen.
Bitte beachten Sie, dass diese Einstellungen möglicherweise die Nutzung des Telefons beeinträchtigen oder weitere Konfigurationen erforderlich machen können, wenn Sie später wieder ausgehende Anrufe tätigen möchten.
 
Das würde aber voraussetzen, daß der Angreifer die Anrufe nur über eingeschleuste HTTP-Befehle auslöst. Hat er Vollzugriff auf's Telefon (bspw. über eine Backdoor im Netzwerk oder dem Telefon selbst), kann er diese Einstellung wieder rückgängig machen.
 
  • Like
Reaktionen: IEEE
Ich finde es sehr schade, dass sich der Threadstarter hier nicht mehr gemeldet hat. Ich wäre an weiteren Erkenntnissen zu der Geschichte sehr interessiert gewesen.

Alle Tipps hier um kostenintensive Anrufe beim Provider, auf der Anlage / dem Router oder am Telefon zu sperren, sind inhaltlich natürlich absolut richtig. Aber letztendlich nur Symptombekämpfung. Wenn jemand von außerhalb des internen Netzes in der Lage ist, Befehle an das Telefon zu schicken dann ist hier irgendwas extrem schief gegangen und dem sollte man nachgehen.
 
Hallo und sorry dass ich mich nicht gemeldet habe, anscheinend ist meine EMailbenachrichtigung ausgestellt.

Letzte Stand der Dinge war der - Neuer Nutzername/Passwort gesetzt und alle Telefone (2 Stück) aus der Autoprovisionierung genommen. Habe beim Anbieter dann alle Ausländischen Nummern sperren lassen. Seither keine Vorfälle mehr. Wer oder was das war, weis ich bis heute nicht......
 
Toll wäre, wenn Du uns noch die Firmware-Version Deines Snom D785 geben könntest. kenne die Auto-prov von Fonial nicht; aktualisiert auch die Firmware automatisch? Laut Log hast Du Firmware-Verison 10.1.101.11, die nicht mehr aktuell ist. Hier sollte ein Update erfolgen. Aber ich befürchte das Problem liegt ganz wo anders, nämlich in Deinem Internet-Router:
  1. Speedport Hybrid oder Speedport Pro (Plus (Gaming))?
  2. Hast Du im Router vielleicht versehentlich eine Port-Freigabe auf das Telefon auch für Port 80 bzw. 443 eingerichtet?
 
Ja stimmt, das Automatische Update funktioniert nicht mehr, da man da die Provisionierungsurl einträgt.

- Speedport Pro, aber nix mit Gaming.
- Der Router wurde vor 2 Jahren gekauft und läuft seither ohne dass ich je daran was geändert habe. Soweit ich weis hat er auch eine Firewall.
 
Namlus schrieb:
Verstehe ich richtig?: SIP im Router registrieren und die SIP ID beim Telefon leer lassen? Wenn ja, wie verknüpfe ich dann das Telefon mit dem Router?
Zum Vergrößern anklicken....
Den Router als SIP-Gerät beim Telefonie-Anbieter registrieren.
Dann auf dem Router eine interne Rufnummer konfigurieren, die mit diesem SIP-Account verbunden ist.
Und anschließend das Telefon mit diesem SIP-Account des Routers (der für das Telefon ans SIP-Anbieter/Telefonanlage arbeitet) verbinden.
Damit unterhält sich das Telefon ur mit dem Router und der Router mit den Telefonieanbieter. Das Telefon muss nicht, egal, wie gut dessen internen Passwörter sind, ins Internet.
Damit funktioniert dann auch die Autoprovisionierung durch den Anbieter nicht. Wenn also dort eine Lücke im System steckt, kann niemand an den Telefoneinstellungen drehen.

bei dieser Konfiguration kann man ohne Probleme dem Telefon auch den Internetzugang sperren, so dass selbst dieses sich nicht ins Internet verirren kann, wenn doch noch irgend eine Konfiguartionsleiche übrig geblieben ist.
 
Theo Tintensich schrieb:
[…]
Und anschließend das Telefon mit diesem SIP-Account des Routers (der für das Telefon ans SIP-Anbieter/Telefonanlage arbeitet) verbinden.
Zum Vergrößern anklicken....
Funktioniert mit dem Speedport Pro leider nicht. Der Speedport Pro (Plus) hat nach wie vor keinen eigenen SIP-Registrar. Der Speedport Smart 4 hätte diesen.
 
Für mich bleibt die einzig lebensfähige Erklärung, dass ein Portforwarding auf dem Router bestand (oder immer noch besteht). Entweder mal von jemand eingetragen, oder durch irgendwelche automatischen Mechanismen (upnp,...) die consumer Router oft haben. Hier hab ich schon vieles erlebt, was mich schockiert hat. Ein älterer Netgear hat mal beinhart einfach von sich aus alles was im LAN Webserver war, nach außen freigegeben.

Leider hat man, wenn man jemanden ein SIP Telefon oder eine Anlage hinstellt, meistens nicht die Kontrolle was Router/Firewalls so treiben. Daher habe ich folgende Konsequenzen gezogen:

- noch stärkere Kennwörter für die SNOMs (Webinterface Login, Admin Passwort nicht vergessen)
- Wenn keine Programme benötigt werden, die das SNOM per http Requests steuern (CTI, Tapi,...), dann use_hidden_tags und restrict_uri_queries auf ON.

restrict_uri_queries - Snom Service Hub - Snom Service Hub

service.snom.com service.snom.com

use_hidden_tags - Snom Service Hub - Snom Service Hub

service.snom.com service.snom.com
 
Namlus schrieb:
Speedport Pro
Zum Vergrößern anklicken....
Du könntest von einem Mobiltelefon aus probieren, ob Du über <IPv4>:80 bzw. <IPv4>:443 auf Dein Snom drauf kommst. Noch besser wäre ein kompletter Portscan von außen, zum Beispiel über nmap <IPv4>. Wenn auf Deinem Snom auch IPv6 aktiv ist auch auf deren IP-Adresse mal scannen. Mittelfristig wäre der Wechsel auf den Speedport 4 wirklich angeraten, denn der bietet nicht nur einen SIP-Registrar sondern seit Kurzem auch offiziell Unterstützung für Telekom Hybrid.
 
Hallo zusammen,

also ich vermute mittlerweile ganz stark dass jemand von "außen" das Telefon gehackt hat. Ich mache mal ein kurzes Update
1. Das Telefon lief bei mir im Büro weiter bei Fonial, ich hatte das Passwort und Zugangsnamen geändert
2. Habe gestern mein neues Gigaste (Fusion) bekommen und deshalb das o.g. Telefon mit nach Nachhause genommen fürs Homeoffice.
3. Zuhause habe ich es auf Werkseinstellungen zurückgesetzt
4. Dann habe ich den Account von Sipload (Achtung bisher war es ja bei Fonial) den ich zuhause nutze eingerichtet
5. Nach Verbindungsaufbau ist das erste was das Telefon macht - ausländische Nummern zu wählen. (ca. 3-4 Min. nachdem ich die Daten eingegeben habe)
6. Zugegeben ich habe mich von oben nach unten durchgearbeitet, es war kein Passwort gesetzt. Hätte ich als erstes machen sollen, dann wäre der Fehler aber auch nicht ersichtlich gewesen. Hätte ich dann am Ende gemacht, ich war ja noch "am Einrichten/Konfigurieren" - Ausländische Nummern sind bei Sipload standardmäßig gesperrt, von dem her kein Schaden, und ja..... zukünftig erst Passwort, dann einrichten.

Die Informationen möchte ich natürlich gerne mit euch teilen, vielleicht stößt irgendjemand mal mit dem selben Problem auf meinen Post.
Ich habe auch gleich ein Foto gemacht von den nummern die gewählt wurden.


IMG_20230330_150354_compressed_compressed.jpg
[Edit Novize: Riesenbild gemäß der Forumsregeln auf Vorschau verkleinert]
 
Zuletzt bearbeitet von einem Moderator:
Die Landesvorwahl 00972 gehört zu Israel.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 557 (Mitglieder: 12, Gäste: 545)

Neueste Beiträge

Statistik des Forums

Themen
244,832
Beiträge
2,219,110
Mitglieder
371,534
Neuestes Mitglied
vignajeanniegolabek
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück