[Frage] VoIP Account gehakt.Wie sicher ist Fritzbox und 1&1

[Christian123]

Hallo,
ich nutze in der Nebenwohnung eine meiner 1 und 1 VoIP Nummern über die Fritzbox 6590. Die Nummer wurde vorsorglich von 1 und 1wegen einem Fremdzugriff und Rufnummernnutzung im Ausland gesperrt.Es wurde im 5 Minuten Takt kosten über 5eur verursacht.

Ich Frage mich was da passiert ist. In der Fritzbox ist im Protokoll nichts zu finden.Alle anderen Rufnummern sind nicht betroffen. Wurde die Fritzbox gehakt oder der onlinezugang über das Portal von 1 und 1. Hat 1&1 ein Datenschutzproblem. Komisch ist das nur die 1 und 1 Nummer meiner Zweitwohnung betroffen ist und was ich jetzt prüfen kann (Virus, smarthomeeinstellungen usw.)

Vielen Dank.

 

[koyaanisqatsi]

Moins

Das "erweiterte" Protokoll sind die Supportdaten ( Textdatei, über fritz.box/support.lua zu erstellen ).
Darin befindet sich ein "SIP-Log" und danach kommt noch ein Abschnitt "Invite".
( Leider ein Ringpuffer, deswegen muss sowas "zeitnah" erstellt werden )

Desweiteren check deine "Telefoniegeräte" und die "Rufbehandlung" nach verdächtigen Einträgen.

 

[v!king]

Das sowas überhaupt passieren kann ist eine Katastrophe. Hast du am Handy 1und1 Smart Control app genutzt? Dort loggt sich das automatisch ein. Wenn jemand mit trojaner auf diese Daten in App zugreifen kann. Hat er dein login Control Center und somit deine voice IP Passwd und username....

 

[PeterPawn]

Zunächst würde ich mal nach den Fernzugriffsmöglichkeiten für den Provider in dieser 6590 sehen und alles abschalten, was nicht mir selbst einen Vorteil bringt:

Wenn der Provider über TR-069 die Konfigurationsdatei auslesen darf, kann und das macht, braucht kein Mensch eine 6590 zu hacken ... das ist "Funktion" des Gerätes. Allerdings sollte im Event-Log die Information auftauchen, daß der Dienstanbieter Informationen aus dem Gerät abgerufen hat - leider steht da m.W. nicht, um welche es sich genau handelt.

Ansonsten dürfte aus Sicht von 1&1 schon jeder Anruf über diese Nummer im Netz von Vodafone ein "Fremdzugriff" sein (solange das nicht über VPN doch wieder an einem 1&1-Anschluß landet - steht leider nicht in #1) ... da sollte dann auch 1&1 schon noch etwas genauer Auskunft geben können, von welchen IP-Adressen diese Zugriffe erfolgen (bzw. erfolgt sind). Geht denn diese Nutzung von 1&1-SIP-Accounts aus fremden Netzen heraus überhaupt?

Auch wenn die Reaktion, so etwas so schnell wie möglich abzustellen, bei Privatpersonen nachvollziehbar ist, würde ich mir bei/von einem Provider etwas mehr "Weitsicht" in solchen Fällen wünschen. Wenn so etwas eine Massenaktion ist, springt der Angreifer einfach zum nächsten Opfer weiter ... es hilft also dem Einzelnen (wobei der Provider hier ja auch Verbindungsprobleme "vorspielen" könnte, z.B. "busy"), erschwert aber das Klären der Ursache bzw. das "Austesten" von Reaktionen des Angreifers und das Ableiten von generellen Abwehrmöglichkeiten.

 

[Micha0815]

Falls nur eine von x Rufnummern betroffen, ist die Spur wohl eher im Dunstkreis der 6590 in der Nebenwohnung zu suchen.
LG and my2cent
Nachtrag:

Geht denn diese Nutzung von 1&1-SIP-Accounts aus fremden Netzen heraus überhaupt?

Ja das geht.

 

[Christian123]

Falls nur eine von x Rufnummern betroffen, ist die Spur wohl eher im Dunstkreis der 6590 in der Nebenwohnung zu suchen.
LG and my2cent
Nachtrag: Ja das geht.

das ist auch ebenfalls meine Befürchtung und danke Euch allen für die Tipps:

- Ich habe die Rufnummerneintrag jedoch in der 6590 gelöscht und er war jahrelang in der alten 7390 integriert die ich übertragen hatte. Die 7390 war von 1&1 und lief über LAN am Kabelmodem.
- Handyapp habe ich nie genutzt außer über sipgate mit Aufladefunktion.
- Der Zugriff/Fremdnutzung war im April und Anfang Mai gab es die Post mit dem Hinweis man solle alles prüfen (Viren etc.) Im Protokollverlauf sehe ich nichts mehr da der Netzstecker gezogen wurde.
-Anbieterdienste waren komplett alle an und habe ich erstmal ausgestellt!!!!!
-VPN sind Zugriffe für smarthome eingerichtet u.a. Myfritz und auch von Kopfspieler die alexa DECT 300-Thermostatsteuerung aber die nutze ich schon länger usw.
- die Nummern wurden vermutlich nicht über die Fritzbox genutzt, zumindest vermute ich das, da ich mir die Nummernverlauf öfter mal ansehe , was mir dann ggf. aufgefallen wäre.

Was kann ich ggf. jetzt noch tun? Ist da bei meinen Einrichtungen mit dem Fernzugriff smarthome was schief gelaufen. Hatte ein sehr einfaches Passowrt für die Oberfläche, aber gute VPN-Passwörter
Kann es ev. etwas mit dem Fernseher und dem firestick zu tun hat, da ich zeitlich passend mal ab und an ein Kodi-addon ohne die empfohlene IP-Verschlüsselung nutze.

Fakt ist trotzdem: Ich meine sowas dürfte nicht passieren und ich frage mich wie man die Zugangsdaten auslesen kann. Bei Kabeldeutschland ist das zu 100% sicher, da man mit den Daten außerhalb nichts anfangen kann und ich die Rufnummern ins Ausland und Sonderrufnr. gesparrt habe.

 

[bytegetter]

Der Leak kam über die 7390, da ist nichts mehr weiter zu tun.

 

[Christian123]

Der Leak kam über die 7390, da ist nichts mehr weiter zu tun.

Wie kommst du darauf. Die 6590 ist seit Mitte März im Einsatz. Der Zugriff war im April. Die 7390 war ab Mitte März offline.

Gesendet von meinem SM-G930F mit Tapatalk

 

[Micha0815]

Einmal ist die Rede von 6590 (eine Kabel-FB) dann von der Kombi Kabelmodem+FB7390 u.U. jetzt ersetzt durch 7590?

Eine schlecht gesicherte *.export-Datei -hier von der 7390?- könnte auch in falschen Händen für #1-Ärger sorgen.

Personal vom KNB via TR069 als Verursacher für eine Tel.-Nr. heranzuziehen, halte ich für abwegig. Wenn aus dieser Ecke (systematisches Abgreifen) was käme, würde dies grössere Wellen schlagen.

Inwieweit App`s oder sonstige Umstände Zugriff bekommen haben könnten ...?

Btw. könnte es auch ein "Schläfer" aus der seinerzeitigen WEBCM-Lücke sein, falls die Credentials der 1und1-Rufnummer nie geändert wurden, weil man seinerzeit nicht geschädigt wurde?
LG

 

[v!king]

ein ganzes KABEL6590-7590-7390salat

 

[koyaanisqatsi]

Ein Paradebeispiel dafür, wie verwirrend so etwas ist.
( NO PANIC )

 

[Micha0815]

Wer den Schaden hat, braucht bekanntlich nicht für den Spott sorgen.
Btw. würde ich dringenst anraten, falls nicht bereits geschehen, sämtliche SIP-Passwörter nebst Zugangspasswort zum 1und1 Kunden-CC zu ändern.
LG

 

[Peter_Lehmann]

Sicherheitsbewusste User machen so etwas sogar regelmäßig ... .

Im 1&1-Forum wurde heute (endlich) gepostet, dass es da ggw. ein Problem mit gehackten Kundenzugängen geben soll und deswegen (temporär?) Captchas zum Schutz (???) der Kundenzugänge genutzt werden.

MfG Peter

 

[koyaanisqatsi]

Wünschenswert wären ETokens zur Aufbewahrung von Passwörtern.
...zur Not tuts aber auch ein ( ausrangierter ? ) Laptop ohne Internetzugang mit Linux und dem sehr empfehlenswerten Passwortgenerator apg...

...der auch für die Optionen der Passwortstärke kaum/keine Wünsche offen lässt.

 

[MuP]

Captchas und diverse Spaßtools nützen alle nichts, wenn ein Insider die Daten abgreift und verkauft.

Warum wurde wohl das maximale Kostenlimitfeature von 1und1 abgeschafft? ... ein Schelm, ...

 

[bytegetter]

Der Angriff kam über die 7390. Momentan werden Weltweit die VoIP-Accounts von vor 1-2 Jahren durchtelefoniert.

 

[PeterPawn]

Momentan werden Weltweit die VoIP-Accounts von vor 1-2 Jahren durchtelefoniert.

Quelle?

 

[Christian123]

Quelle?

....würde mich auch interessieren. Wie kulant verhält sich bei so offensichtlichen Fällen eigentlich 1&1. Auf der Rechnung stand 200eur angeblich sei man kulant, aber eine Gutschrift kam noch nicht!? Da der Hack ja erkannt wurde, wurde die Nummer vorsorglich gesperrt und angeblich nichts laut Anweisung und wegen öfter vorkommender Fälle ins Ausland überwiesen, Die Frage ist nur ob dies der Kunde am Ende nicht doch noch in Rechnung gestellt bekommt udn sich 1&1 doppelt die Hände reibt. War die Zusage der Gutschrift Gefasel oder kommt das erst nächsten Monat?

 

[PeterPawn]

Ich bin mehr deshalb daran interessiert, weil "webcm"-Gate (also die Möglichkeit, wirklich aus dem Internet ohne Anmeldung Kommandos auf der FRITZ!Box abzusetzen, mit denen man IP-Telefone einrichten oder die Zugangsdaten auslesen konnte) inzwischen nicht 1-2 Jahre her ist, sondern mehr als 4 ... das war nämlich Dez. 2013 (Jahresende) bis Anfang Februar 2014.

Da ist die Angabe "1-2 Jahre" dann entweder "sehr ungefähr" oder es gab später weitere (eklatante und ausgenutzte) Lücken, über die ebenfalls von der WAN-Seite Daten abgezogen werden konnten (und wurden, wenn die Angaben von @bytegetter valide sind). Nun kenne ich zweifellos nicht alle Probleme, aber von so etwas hätte man m.E. dann auch irgendwie gehört - daher die Frage nach der Quelle dieser Information.

Daß es auf der LAN-Seite immer noch (und zuviele) Möglichkeiten gibt, ist unbestritten ... aber auch dabei wurden bisher m.W. keine FRITZ!Boxen wirklich massiv angegriffen. Auch die Probleme bei MyFRITZ! sollten irgendwann im Frühjahr 2015 abgestellt worden sein (da hatte AVM dann den gesamten Dienst mal eine Zeitlang stillgelegt und ihn überarbeitet - wobei er danach u.a. unter der Verwendung des Google Re-Captcha-Dienstes wiederauferstand) und können hier eigentlich nicht gemeint sein bzw. auch dabei sind m.W. keine massenhaften Daten abgeflossen.

 

[Christian123]

Wenn dem so wäre und ein ab telefonieren und nutzen der Nummer stattfindet und der Hack vor Jahren von der 7390 kommt die Frage, warum nur die eine Nummer betroffen ist, da alle Voip- Passwörter nie geändert wurden.

Wenn sowas kein Einzelfall ist und das Ganze bekannt ist, warum wird der Kunde erst nach dem Schaden informiert denn 1und1 hat die 7390 ja selber vertrieben.

Wie sieht es denn eigentlich mit den ganz alten Fritten aus wie die 7050, sind dort solche Voip-Einträge auch gefährdet?

Wenn jemand sowas macht, dann rechnet er doch damit dass sowas aufliegt und macht sowas nicht manuell durch Nr. für Nr. durchtelefonieren?

Gesendet von meinem SM-G930F mit Tapatalk