[UPDATE 13.12.2106]
Am letzten Wochenende wurden leider weitere 160 SIP-Zugangsdaten missbraucht, um mit externen Endgeräten zu Zielen nach Litauen und Lettland zu telefonieren. Das ist für unsere Kunden, wie für uns selbst auch, mehr als ärgerlich, denn neben dem meinst überschaubaren finanziellem Schaden haben wir alle lästigen Mehraufwand. Hier noch mal alle wichtigen Infos und Tipps im Überblick.
Woher hat der Täter die SIP-Zugangsdaten?
Die Daten stammen zweifelsfrei aus den Fritz!Boxen unserer Kunden. Im Jahr 2014 gab es eine Sicherheitslücke in einer Firmware von AVM, über die es möglich war, sämtliche Daten von Fritz!Boxen abzugreifen, bei denen der Fernzugriff aktiviert war.
Wie konnten die Zugangsdaten trotz aktueller Firmware abhanden kommen?
2014 wurden leider nicht nur die Passwörter für die Benutzeroberfläche und die SIP-Zugangsdaten ausgelesen, sondern auch die My!FRITZ-Zugangsdaten. Obwohl viele Nutzer die aktuelle Firmware installiert und ein neues SIP-Passwort vergeben hatten, wurde leider oftmals vergessen, auch für den My!FRITZ-Dienst ein neues Passwort festzulegen. So war es den Tätern möglich, über diese Hintertür erneut auf die entsprechenden Fritz!Boxen zu gelangen und die Daten auszulesen.
Wann wurden die SIP-Zugangsdaten aus der Fritz!Box entwendet?
Durch Feedback unserer Kunden hat sich herausgestellt, dass die aktuell missbrauchten Daten schon vor längerer Zeit abgegriffen wurden. Mehrere Kunden berichteten, dass Sie seit mehr als 12 Monaten keine Fritz!Box mehr verwendet haben, andere hatten den My!FRITZ-Dienst bereits seit Monaten deaktiviert.
Kann sipgate mir trotzdem helfen?
Ja! Wir haben alle Kunden per E-Mail informiert und gebeten, alle notwendigen Schritte durchzuführen. Des Weiteren wurde die ausgehende Telefonie so lange gesperrt, bis ein neues SIP-Passwort gesetzt wurde. Unsere Kundenbetreuung hilft zudem gerne bei allen Fragen zum Thema Sicherheit.
Was soll ich tun, wenn ich feststelle, dass meine SIP-Zugangsdaten von Dritten verwendet werden?
Sollten Sie Warnungs- oder Rechnungsmails von uns erhalten, ohne dass Sie telefoniert haben, könnte das bedeuteten, dass jemand anderes mit Ihren SIP-Zugangsdaten telefoniert. Um solche Telefonate zu stoppen, ändern Sie am besten sofort Ihr SIP-Passwort. Wie das funktioniert, erfahren Sie hier.
Oh nein, nicht schon wieder…
Der ein oder andere erinnert sich vielleicht noch an die Schwachstelle in der Fritz!Box Firmware 2014. Damals wurden tausende SIP-Zugangsdaten, Logins für die Weboberfläche sowie die MyFritz! Zugangsdaten entwendet. Natürlich waren auch viele sipgate Kunden betroffen. Heute Nacht, fast drei Jahre später, spüren wir immer noch Nachwehen dieses Vorfalls.
Was genau ist passiert?
21 sipgate basic Kunden wurden die SIP-Zugangsdaten entwendet und missbraucht. MyFritz! ist eine Funktion, die es dem Besitzer ermöglicht, seine Box unter einem eigenen Namen von überall zu administrieren. Das Ändern dieses Passworts kann leicht vergessen werden (oft wird der Dienst getestet und danach vergessen). Aus diesem Grund kann es passieren, dass damals gehackte Fritz!Boxen, trotz aktueller Firmware und neuem Passwort für die Benutzeroberfläche immer noch angreifbar sind; und genau das ist heute Nacht passiert. Die betroffenen Geräte sind völlig verschiedene Modelle (7270, 7390, 6360, 7490, 7330).
Der Vorgang war immer gleich. Zuerst ein Testanruf in die USA, danach so viele Anrufe in eine teure lettische Mobilfunkgasse bis das Gesprächsguthaben aufgebraucht war. Um die Calls abzusetzen, nutzen der oder die Täter Softphones (eyeBeam und VaxSIP) sowie einen (vermutlich gehackten) Asterisk Server. Dabei registrierten wir IPs aus den USA, UK und Tschechien. Der Gesamtschaden beläuft sich auf 590 EUR.
Was ist zu tun?
Alle betroffenen Kunden wurden umgehend von uns informiert und gebeten folgende Schritte durchzuführen:
- Aktuelle Firmware aufspielen
- Neues Passwort für die Benutzeroberfläche der Fritz!Box vergeben
- Neues Passwort für MyFritz! bzw. dieses deaktivieren (wenn es nicht gebraucht wird)
- Neue SIP-Zugangsdaten im eingeloggten Bereich generieren lassen und in der Fritz!Box konfigurieren
An dieser Stelle möchten wir noch einmal alle Fritz!Box Benutzer dafür sensibilisieren, nicht genutzte Dienste zu deaktivieren und von Zeit zu Zeit die Passwörter zu ändern.
3 Kommentare
Daniel:
Wenn ich mich recht erinnere, gab es früher im alten basic mal eine Limitfunktion. Gerne wieder zubuchbar im Featurestore, mit E-Mail-Benachrichtigung und gerne auch mit automatisch greifender Tages- und Wochenlimitsperre (das adaptiert dann ganz gut an das individuelle Nutzungsverhalten), die man in der E-Mail entsperren kann. Da ich z.B. über die letzten fünf Jahre nie mehr als 1 € pro Tag an Festnetztelefonaten geführt habe, würde ich das Limit gerne auf 1 € setzen. Im Optimalfall machen das viele Kunden und so wird bei 21 betroffenen Kunden zukünftig dann nur noch ein Schaden von deutlich unter 100 € entstehen.
Daniel Marohn:
Daniel, wie genau sah diese Limitfunktion aus? Ich bin schon recht lange dabei, aber weiss nicht was du meinst. Ansonsten stimme ich zu, das so ein konfiguriebares Limit super wäre. Ich glaube, das wäre technisch nicht so einfach, aber ich werde die Anregung auf jeden Fall weitergeben.
Daniel:
So ganz genau weiß ich es auch nicht mehr, aber ich kann mich definitiv daran erinnern, dass es in der alten Sipgate basic GUI in den Einstellungen bis vor einigen Jahren dieses Limit mit auf Euro-genau wählbarem Betrag gab. Es war wohl wie die aktuelle „Benachrichtigung bei Unterschreiten von Guthaben“ bei team (erstmal das zu übernehmen würde die Umsetzung bei basic und Simquadrat vermutlich deutlich erleichtern), also nur eine E-Mail bei Unterschreiten eines einstellbaren Guthabens, keine harte Sperre.
Aber das alleine würde schon reichen bei relativ konstantem Anrufverhalten. Nennen wir es „Verbrauchsinfo“-Feature und es wäre gut, wenn man einen Tages- und/oder ein Wochen/Monatslimit einstellen könnte. Auch wenn es mal einen Tag mehr ist, dann können doch sicher viele Kunden gut einschätzen, wie viel sie im Monat vertelefonieren.
Im weiteren Schritt oder separat ließe sich das als adaptives „Smartlimit“ ausbauen, so dass es dann automatisch sich um (nicht mehr als eine gewisse Varianz von 10-20 %) an das tägliche und wöchentlich/monatliche Nutzungsverhalten anpasst und dann aber optional wählbar neben einer Warnungsmail auch eine harte Sperre greifen lässt. Diese Sperre könnte man sogar für alles außer DE Fest+Mobil setzen (ggf. ebenfalls optional per Häkchen), dann hat man in den meisten Fällen diese Betrugsversuche, aber nur in den wenigsten Fällen das normale Nutzerverhalten tangiert. Oder eben nur in letzter Instanz nach zweimaliger Warnungsmail dann alles sperren.
Was bringt es einem Betrüger im Gegensatz zum litauischen Anbieter eigentlich für einen monetären Vorteil, wenn er auf bestimmten Mobilfunkgassen IC-Entgelteinnahmen erzeugt (Mitarbeiter des litauischen Anbieters?!)? Bei litauischen 0180-Pendants könnte ich es noch leicht nachvollziehen…