Viren, Spyware, Datenschutz 11.215 Themen, 94.210 Beiträge

News: Und wer zahlt diesmal die Rechnung?

Fritzbox-Missbrauch sorgt weiterhin für Kopfzerbrechen

Michael Nickles / 33 Antworten / Flachansicht Nickles

Die Fritzbox-Modelle von AVM zählen zu den in Deutschland am meisten eingesetzten Routern. Beliebt ist die "Fritzbox" unter anderem wegen ihrer enormen offiziellen und inoffiziellen Funktionalität. Seit gut einer Woche sorgt das Problem für Aufregung, dass Fritzboxen per Fernzugriff gekapert werden und Kriminelle dann horrende Telefonkosten damit produzieren.

(Foto: AVM)

Angerufen wird soweit bislang bekannt stets ein Anschluss auf den Falkland Inseln. Zunächst wurde gehofft, dass es sich nur um wenige Fälle handelt. Die haben sich dann aber wohl derart gehäuft, dass AVM offiziell eine Sicherheitswarnung rausgelassen hat. Registrierte Kunden erhalten von AVM aktuell auch eine Warnung per Email. Betroffen sind nur Fritzboxen, deren Besitzer die Möglichkeit  des Fernzugriffs über Internet aktiviert haben. Standardmäßig ist das nicht aktiviert.

Betroffene sollten jetzt also sicherheitshalber den Fernzugriff abschalten, sicherstellen, dass HTTPS via Port 443 nicht eingeschaltet ist. Wie das gemacht wird, erklärt AVM auf dieser Webseite. Dort gibt es auch Hinweise, wie überprüft werden kann, ob von außen auf eine Fritzbox zugegriffen wurde und es gibt Tipps für weitere Sicherheitsmaßnahmen.

Unklar ist aktuell weiterhin, wie die Angreifer es geschafft haben, die Fritzboxen zu kapieren. AVM geht davon aus, dass die Täter bereits zum Zeitpunkt des Angriffs im Besitz der nötigen Zugangsdaten waren. Momentan wird untersucht, wie es die Kriminellen geschafft haben, an diese Daten zu gelangen.

Michael Nickles meint:

AVM hat nach eigenen Angaben bislang keine Sicherheitslücke in der Firmware der Fritzbox ermittelt. Es braucht gewiss auch keine, weil es vielfältige anderweitige  Angriffsmöglichkeiten gibt. Beispielsweise kann ein Trojaner einfach einen PC überwacht, die Login-Daten einer Fritzbox, abgegriffen haben.

Denkbar ist auch ein primitiver Angriff via Port-Scan. Im Hinblick auf die enorme Verbreitung der Fritzbox, können Angreifer einfach IP-Adressen abgeklappert und jeweils bei Port 443 angeklopft haben. Zum Einloggen braucht ein Angreifer dann nur noch die Email-Adresse des Nutzers und sein Passwort.

Genug Nutzerdaten sind wie jüngst bekannt geworden im Umlauf. Und das "Erraten" von Passwörtern ist auch nicht unbedingt schwer. Gemäß einer Studie zählen "123456" und "password" zu den beliebtesten Passwörtern. Abseits vom "Hack" ist interessant, mit welcher Methode die Kriminellen versuchen, Geld zu erbeuten.

Die "Telefonmasche" mit sogenannten "Mehrwertdiensten" ist alt, stammt eigentlich aus der Pre-DSL-Zeit. Da wurden auf PCs Trojaner, sogenannte "Dialer", eingenistet, die dann das Modem zum Anwählen teurer Verbindungen genutzt haben. Abgerechnet wurde das dann perverserweise über die Telefonrechnung des Anbieters, bei dem man Kunde war - also beispielsweise von der Telekom.

Für die Telefonanbieter waren die Dialer ein Bombengeschäft, weil sie schamlos mitverdient haben. Aber: irgendwie müssen sie den Betrügern, deren "Firmengeflecht", die Kohle anteilig rüber transferiert haben. Das dürfte kaum durch Koffer mit Bargeld passiert sein. Der Weg zu den Kriminellen muss also irgendwie zurückverfolgbar gewesen sein.

Soweit ich mich entsinnen kann, wurden Dialer-Betrüger niemals im großen Stil erwischt und Telefonanbieter wurden niemals wegen Beihilfe zum Betrug rangenommen - obwohl das offensichtlich war. Es ist schon ein übler Witz, dass diese Betrugsmasche heute immer noch zu funktionieren scheint.

Zu hoffen bleibt, dass die Telefonanbieter betrogener Fritzbox-Kunden kulant sind und nicht auf Zahlung von "zigtausend" Euro teuren Telefonrechnungen beharren. Denn: die Kriminellen scheinen richtig auffällig zuzuschlagen. Beim ersten bekannt gewordenen Fall sollen sie binnen einer halben Stunde eine Telefonrechnung von über 4.200 Euro produziert haben.

bei Antwort benachrichtigen
torsten40 Michael Nickles „Fritzbox-Missbrauch sorgt weiterhin für Kopfzerbrechen“
Optionen

Auf jedenfall geht AVM damit besser um, als andere Hersteller. Hier wird der Nutzer gewarnt, und wird auch eine vorerst Lösung angeboten

Kp, ob es damit was zu tun hat, aber man kann ja quasi jede Box, die den Fernzugriff aktiviert hat, "halbwegs" auslesen.

http://fritz.box/cgi-bin/system_status

http://fritz.box/jason_boxinfo.xml

https://<domainname.myfritz.net>//jason_boxinfo.xml

Wobei den Domainname herauszufinden, dass dürfte schon glück sein, denn der ist verschlüsselt. Oder über TR-09

Und irgendwie wird man mind. 3x nach Passwörtern gefragt, bevor man zugriff auf der Box hat. Alle Passwörter können, und sollten auch verschieden sein. Die meisten werden wohl, für den Dienst immer das gleiche PW benutzt haben.

Ich habe diese Funktion auf aktiviert gehabt, und bei mir ist nix zu sehen.

Freigeist
bei Antwort benachrichtigen