[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

Status
Für weitere Antworten geschlossen.
S

SF1975

Guest
Hallo,
Hier ein Update der bereits gefixten Modelle/FWs: >>>klick<<<
Vergangene Woche berichtete Der Westen von einem 1&1-Kunden, über dessen Internet-Router Fremde innerhalb einer halben Stunde internationale Telefonate für 4200 Euro ausgelöst haben. Die als Router bei dem Kunden eingesetzte AVM Fritzbox sei mit einem Passwort gesichert gewesen, das zu einer E-Mail-Adresse aus dem Millionen-Pool erphishter Zugangsdaten gehört, der im Januar bekannt wurde. Auf dem PC des Opfers seien auch zwei Trojaner gefunden worden.
Quelle und weiter: >>>klick<<<


 
Zuletzt bearbeitet von einem Moderator:

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
11,309
Punkte für Reaktionen
187
Punkte
63
Recht hat AVM.
Wer den Fernzugriff aktiviert hat, und sich mit EMail-Benutzer und EMail-Passwort einloggt,
ist aber sowas von selbstdämlich, dass mir dazu auch nicht mehr einfällt.
 
Zuletzt bearbeitet:
S

SF1975

Guest
Hallo,
a) habe ich für MyFritz eine Mailadresse, die ich nur dafür verwende
b) Benutzername und Passwort, sowie Pwd für die Oberfläche habe ich nur in der FBF
c) habe ich bei 1&1 sämtliche Sonderrufnummern, sowie Ausland im CC gesperrt. Das wäre in diesem Fall eine 2. Hürde.

Aber ... sicher ist nichts, nicht einmal der :beerdigu: ... :lach:
 

Digimops

Neuer User
Mitglied seit
6 Jul 2006
Beiträge
165
Punkte für Reaktionen
0
Punkte
16
Telefonie-Missbrauch anscheinend Massenhack von AVMs Fritzboxen

Der Anruf am Freitag Abend vom Techniker von Unitymedia war sehr freundlich und er erklärte auch korrekt, was in den Einstellungen zu ändern ist um den Zugriff über das Internet zu verhindern.

Hacker greifen die Fritz-Boxen an, in meinem Fall eine UnityMedia Kabel 6360.
Es wird ein IP-Telefon eingerichtet und darüber nach Afrika eine kostenpflichtige Hotline angerufen.
Der Schaden beläuft sich in meinem Fall auf ca. 1200 Euro. Der Techniker sagte auch, dass die Rechnung nicht bezahlt werden müsste.


Folgende Sicherungen müssen gesetzt oder geändert werden:

Box unbedingt mit neuem Passwort versehen
Prüfen ob unter Telefone eine IP-Telefon1 installiert ist, wenn ja sofort löschen.
Den Webzugriff auf die Fritzbox verhindern.
Die nächsten tage prüfen ob sich erneut ein IP Telefon installiert hat.

Ich denke mal die ******** scannen einfach die Unity Media IP Ranges und schauen ob ein paar Fritzen antworten......


So sieht das Log der erfolglosen Versuche aus:
31.01.14 14:26:20 Internettelefonie mit [email protected] über ssl44.telefon.unitymedia.de war nicht erfolgreich. Ursache: Service Unavailable (503)
31.01.14 14:24:32 Internettelefonie mit [email protected] über ssl44.telefon.unitymedia.de war nicht erfolgreich. Ursache: Service Unavailable (503)
31.01.14 14:24:16 Internettelefonie mit [email protected] über ssl44.telefon.unitymedia.de war nicht erfolgreich. Ursache: Service Unavailable (503)
31.01.14 14:22:27 Internettelefonie mit [email protected] über ssl44.telefon.unitymedia.de war nicht erfolgreich. Ursache: Service Unavailable (503)
31.01.14 14:22:11 Internettelefonie mit [email protected] über ssl44.telefon.unitymedia.de war nicht erfolgreich. Ursache: Service Unavailable (503)
31.01.14 14:20:23 Internettelefonie mit [email protected] über ssl44.telefon.unitymedia.de war nicht erfolgreich. Ursache: Service Unavailable (503)
 
Zuletzt bearbeitet:

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
11,309
Punkte für Reaktionen
187
Punkte
63
Moin

0023 also, interessant:

"Mit 0023 (bzw. +23) beginnen die internationalen Vorwahlen von Mauritius, Liberia, Sierra Leone, Ghana, Nigeria, Tschad, Zentralafrikanische Republik, Kamerun, Kap Verde, São Tomé und Príncipe."

Bei Dus.net gibt oder gab es damit, wer weiss, auch massiv Probleme.

Immerhin sucht den Fehler UM nicht erst beim Kunden.

Fritz!Box + Fernzugang benutzen eine gültige EMail Adresse als Login.
(Wird bei der FB in der Benutzerverwaltung angegeben)
Wer da (Fritz!Box und/oder myfritz.net) auch sein "echtes" EMail Account Passwort benutzt, hat schon verloren,
wenn seine EMail Adresse im Pool der geklauten zig Millionen EMail Accounts war.

Die scheinen einfach ein IP-Telefon anzulegen
und weisen dem eine schon registrierte (in der FB) Telefonnummer zu.
Oder ändern ein angelegtes IP-Telefon. Und setzen das Passwort neu.
 
Zuletzt bearbeitet:

informerex

IPPF-Urgestein
Mitglied seit
20 Apr 2005
Beiträge
17,142
Punkte für Reaktionen
44
Punkte
48
Sicherheitshinweis: mutmaßlicher Telefonmissbrauch

AVM hat Hinweise auf eine möglicherweise missbräuchliche Telefonnutzung über die FRITZ!Box erhalten. Die Fälle werden aktuell von uns untersucht, bekannt sind aktuell einige Dutzend.

Bislang können wir hierzu Folgendes sagen: In den Fällen wurde anscheinend von außen auf den Router zugegriffen und ein kostenpflichtiger Telefon-Mehrwertdienst eingerichtet. Der Angriff ist nur dann möglich, wenn der Angreifer über die genaue Kombination aus Mailadresse oder FRITZ!Box-Benutzername, IP-Adresse der FRITZ!Box und Kennwörtern für Fernzugang und FRITZ!Box-Oberfläche verfügt. Möglicherweise besteht ein Zusammenhang zu dem kürzlich vom BSI veröffentlichten Diebstahl von 16 Millionen digitalen Identitäten.

Nach der gegenwärtigen Kenntnislage können wir Folgendes sagen: Ein Zugriff von außen ist generell nur dann möglich, wenn der HTTPS-Fernzugriff (Port 443) oder der MYFRITZ!-Dienst im Router aktiviert wurde. Dazu muss der Angreifer die Mailadresse und das Passwort kennen. Sind diese nicht bekannt oder wurde der Zugriff von außen nicht aktiviert, erfolgte bisher kein Zugriff auf die FRITZ!Box.

Sind HTTPS-Fernzugriff (Port 443) oder MyFRITZ!-Dienst aktiviert, empfehlen wir sicherheitshalber, die Passwörter zu ändern. Unbedingt sollten diese Kennwörter unterschiedlich sein. Ebenfalls sollten alle im Einsatz befindlichen Rechner auf Schadsoftware, z.B. Trojaner, überprüft werden. Sollten in der Telefonkonfiguration ungewöhnliche Rufumleitungen festgestellt werden, sind diese sofort zu entfernen. Eine weitere Vorsichtsmaßnahme ist die Einrichtung einer Telefonsperre für Auslandrufnummern.

AVM veröffentlicht kurzfristig unter www.avm.de/sicherheit eine detaillierte Anleitung und informiert, sobald neue Erkenntnisse vorliegen.
Quelle


Einstellungen "verschärfen" bzw. kurzzeitig deaktivieren:
Quicklinks:
http://fritz.box/internet/myfritz.lua
http://fritz.box/internet/dyn_dns.lua
 

eisbaerin

IPPF-Promi
Mitglied seit
29 Sep 2009
Beiträge
6,771
Punkte für Reaktionen
190
Punkte
63
Und 00232 ist "Sierra Leone Mobilfunk".
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
11,309
Punkte für Reaktionen
187
Punkte
63
Was? DynDNS auch?
Dann muss ich ja wieder via IP-Adresse connecten.
Das ist ja finsterstes (IT) Mittelalter!
Ich warte auf die ersten 1&1 Schadensmeldungen. :)
...und sperre Auslandsgespräche...

Bei UnityMedia gehts auch schon los: KlickKlack

Echt Schade, dass man nicht sehen kann, wer von "Außen" am Registrar hängt.
Ich finde, sowas sollte noch eingebaut werden. Zusammengefasst, darauf bezieht sich Post #10
 
Zuletzt bearbeitet:
S

SF1975

Guest
Jo,
Schon Mist, wenn das passiert .... :-(
Wo die Daten wohl herkommen? Aus der BSI-Meldung? Der Redtube-Welle? Pishing-Mails .... Erfahren wird man es nie...

Wenn die Box bei mir gehakt wird, sperrt zumindest 1&1 die Anrufe an Sondernummern und Ausland. [Rest sind Prepaid-Rufnummern, die max. 10,-€ Guthaben aufweisen!]
Wenn da das CC gehakt wird, ist es dramatischer. Da kann man toben.
1&1 stellt sich leider absolut taub, was Anfragen in Bezug auf Sicherheit anbelangt ...
 
Zuletzt bearbeitet von einem Moderator:

eisbaerin

IPPF-Promi
Mitglied seit
29 Sep 2009
Beiträge
6,771
Punkte für Reaktionen
190
Punkte
63
Das bemängle ich schon seit Jahren.
Wenigstens einen log Eintrag, ähnlich wie beim WLAN, auch wenn es von "Innen" ist.

Müßte man aber nicht in diesem Fall in dem Log so was sehen:
Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 192.168.3.9
Natürlich mit einer externen IP.
 
Zuletzt bearbeitet:

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
22,580
Punkte für Reaktionen
88
Punkte
48
Folgende Sicherungen müssen gesetzt oder geändert werden:

Box unbedingt mit neuem Passwort versehen
Prüfen ob unter Telefone eine IP-Telefon1 installiert ist, wenn ja sofort löschen.
Den Webzugriff auf die Fritzbox verhindern.
Die nächsten tage prüfen ob sich erneut ein IP Telefon installiert hat.
Ich habe ein ausreichend starkes Passwort für die Fritzbox. Ein neues wäre genauso.
Ein IP-Telefon 1 habe ich seit Jahren installiert. Wenn ich das sofort lösche, kann ich nicht mehr telefonieren.
Für den Webzugriff auf die Fritzbox ist ein anderes Passwort zusätzlich vorhanden.
Wenn sich die nächsten Tage erneut ein IP Telefon installiert hat, ist es zu spät. Dann hat alles nichts genützt, und die nächsten 1200 Euro sind beim Provider weg.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
11,309
Punkte für Reaktionen
187
Punkte
63
Müßte man aber nicht in diesem Fall in dem Log so was sehen:
@Eisbärchen: Ja, aber nur einmal, für das Ändern der Registrare.
Ich würde in schönster Hackermanier natürlich alle Logfiles löschen...
Eine SIP-Telefon Registrierung von "Außen" kriegste nicht mit.
Erst wenn darüber telefoniert wird erscheint was im Ereignislog. (löschen)
Und/Oder in der Anrufsliste (löschen, deaktivieren).
Auch hier: http://fritz.box/fon_num/sip_quality.lua (Sprachübertragung) (löschen, deaktivieren)
 
Zuletzt bearbeitet:
S

SF1975

Guest
Hallo,
Da hilft es nur, im CC bei 1&1 die Sonderrufnummern/Auslandsrufnummern zu sperren, sofern man darauf verzichten kann.
Doof nur, dass man das im CC, sofern gehakt, deaktivieren kann. Die Rufnummern selber kann man nicht bearbeiten, aber die Sperre deaktivieren. mal schauen, wie lange 1&1 braucht, um das zu fixen ...
... bereits mehrfach(!!) gemeldet.

Btw: Wie oft schaut Ihr in das Log? Wenn, ist das Kind in den Brunnen gefallen und die Zugriffe werden sicherlich nicht aus Deutschland kommen.
Oder AVM baut eine Sperre ein, mittels der man den Zugriff auf bestimmte Länder, IP-Ranges beschränken kann....
 

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,403
Punkte für Reaktionen
0
Punkte
38
Oder AVM baut eine Sperre ein, mittels der man den Zugriff auf bestimmte Länder, IP-Ranges beschränken kann....
Oder man macht das einfach selber in Form einer Firewall.

Btw.:
Am vergangenen Freitag, 29.01.14, grob zwischen 7:20 und 7:50, fand an meiner Box Folgendes statt:
Code:
Jan 31 07:39:01 fritz kern.warn kernel: [IPT] DENY-FRITZ-ACCESS IN=dsl OUT= MAC= SRC=128.65.210.9 DST=192.168.178.1 LEN=52 TOS=0x00 PREC=0x00 TTL=58 ID=48469 DF PROTO=TCP SPT=443 DPT=43600 WINDOW=78 RES=0x00 ACK FIN URGP=0
Diese IP führt hierhin
Versuche dieser Art finden täglich im deutlich zweistelligen Bereich statt, allerdings pro IP nur drei bis vier Mal und auf wechselnde Ports (22,80,443).
Solch vehemente Versuche nur von einer IP ausschließlich von Port 443 (vgl. hier) fand ich durchaus ungewöhnlich (zumindest für die durchschnittliche Angriffsstatistik an meiner Box).
Wer mag, kann ja seine Logs (sofern vorhanden) mal mit Augenmerk hierauf durchschauen.
Grüße,

JD.
 
Zuletzt bearbeitet:

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,747
Punkte für Reaktionen
9
Punkte
38
S

SF1975

Guest
Hallo,
@JohnDoe42
Wenn man Ahnung von Freetz hat ja, wenn man aktuelle Firmwares mit Freetz nutzen kann, ohne Trunk ....

Dazu wären auch Antworten hilfreich, die sich an Newbees richten. Leider muss man da schon Fachmann sein, da der Freetz-Bereich anders tickt/gestrickt ist. <= "konstruktive Kritik" !!
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,747
Punkte für Reaktionen
9
Punkte
38
Status
Für weitere Antworten geschlossen.

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
232,397
Beiträge
2,021,918
Mitglieder
350,006
Neuestes Mitglied
Winni-Two