Telefon wählt plötzlich eine Ausländische Nummer

[Namlus]

Hallo zusammen,

ich habe ein SNOM D785, bin Kunde bei Fonial, das Telefon ist über Autoprov. eingerichtet.
Gerade Eben ist mir etwas komisches passiert. Mein Telefon hat eigenständig verucht die Nummer 00972595088492 (Palestiena) anzurufen. Ich war direkt daneben und habe das natürlich sofort abgebrochen.
Damit aber nicht genug, das Telefon hat das ca. 10x sofort wieder versucht dann habe ich es umgedreht und den Stecker gezogen, war leider nicht schnell genug an der Gegenseite hat jemand abgenommen -> 0,50 Cent (gottseitdank war ich zur stelle).
Habe jetzt das Telefon auf Werk zurückgesetzt, per Hand eingerichtet und das Adminpasswort geändert. Ein wirklich gutes Gefühl habe ich nicht (wenn nächstesmal ich nicht zur Stelle bin und da 10 min. Anruf laufen wirds teuer).

Deshalb meine Frage. Kann ich Ausgehende Anrufe im Telefon komplett blocken/unterbinden? (Bauche ich auch nicht, ich rufe nicht ins Ausland)
Bei Fonial geht das leider nicht. Habe jedenfalls weder in der Hilfen noch in den Einstellungen etwas gefunden.

Vielen Dank schon mal für die Hilfe.

 

[FlyingToaster]

Gebraucht gekauft? Autoprov. über fonial?
Speichere mal die Konfiguration und suche mal darin alle URL, HTTP etc. mit verdächtigen Einträgen.

 

[H´Sishi]

Das klingt, als wäre das Telefon selbst gehackt ...

Verbindet sich das Telefon direkt mit Fonial oder ist ein Router dazwischen, der die Telefonie managed? Im letzteren Fall sollte es eine Rufsperre geben, die Auslands- und Premiumdienste sperren kann (sofern eingerichtet).

Es sollte bei Telefonie-Anbietern eigentlich auch möglich sein, Premium-Dienste ("0900...") oder Auslandstelefonate ("00...") zu unterbinden. Ich habe aber auch nichts gefunden in der Fonial-Hilfe; evtl. ist etwas in der Benutzerverwaltung.

Überprüf' in Deinem Kundenkonto bei Fonial, ob da außer Dir noch jemand Zugriff hat und ändere auf jeden Fall das Paßwort.
Falls das Telefon verschiedene Benutzer (z.B. für die Schnellwahltaste-Belegung), kontrolliere auch hier.

 

[FlyingToaster]

Für mich wäre das irgendwas per CTI oder ein offener SIP-Port.

 

[Namlus]

Autoprovisionierung - da gibt man die MAC Adresse bei Fonial (also dem SIP Anbieter) an und dann installiert sich die Verbindung automatisch.

https://www.fonial.de/hilfe/fileadmin/user_upload/bilder/Endgeraete/Snom/snom_D785/snom_d785_automatische_konfig.PNG

Ist zwar nicht neu, aber ich bin der Erst/einzige Besitzer.

-- Zusammenführung Doppelpost gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ by stoney

Vollzitat gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ entfernt by stoney

Ja das dachte ich auch schon dass das gehackt wurde. Zugang habe nur ich, bin vor ca. 2 Wochen zu Fonial gewechselt.
Ja die Sperre kannte ich vom alten Anbieter auch, in der Hilfe und in der Benutzerverwaltung nichts gefunden (deshalb versuche ich es hier)
Passwörter habe ich schon alle geändert. Telefon auf Werkseinstellungen zurückgesetzt, Admin Passwort vergeben (neues Langes incl. Sonderzeichen und Zahlen) und die Autoprovisionierung/Automatische Telefoneinrichtung von Fonial gelöscht (kann man nicht deaktiveren man muss den Benutzer löschen..... so ein Blödsinn)
Benutzer neu angelegt und die Zugangsdaten per Hand ins SNOM eingetragen. LDAP usw. habe ich bisher nicht eingerichtet.

 

[H´Sishi]

Außerdem wäre noch denkbar, daß die Autoprovisionierung schwache oder einheitliche Benutzer+Paßwort-Kombinationen vergibt oder, noch schlimmer, daß die Datenbank mit den Zugängen bei Fonial entweder gehackt und kopiert wurde oder jemand (womöglich noch immer) Zugriff darauf hat.
Hast Du Fonial das Ereignis gemeldet?

---

Vor einigen Jahren gab es eine Firmware-Generation für die AVM-FritzBoxen, die eine Ferneinrichtung von IP-Telefongeräten aus dem Internet ermöglicht hat. Ich selbst war ebenfalls Opfer; innerhalb von 12 Stunden (spätabends bis Mittag) wurden über 800 Euro Telefonrechnung verursacht. Gemerkt habe ich es, weil mir meine Box teilweise innerhalb Minuten Logreport-Mails geschickt hat, die etliche Auslands-Telefonate (Rufziele waren ebenfalls in Palästina und einem afrikanischer Staat) aufgelistet haben.
Natürlich gingen die Anzeigen in's Leere und bezahlen mußte ich die Rechnung auch ...

Aus der Aktion haben sowohl AVM (2-Faktor-Bestätigung per Tastenkombination) als auch ich gelernt (Rufsperren in's Ausland in der Box und beim Anbieter konfiguriert).

 

[Namlus]

Ja habe ich sofort gemeldet. Ich weiß aber dass die Antwort: "an uns liegt es nicht" sein wird.

Was mir gerade aufgefallen ist, habe vor der Neuinstallation Screenshots gemacht. (Um später vergleichen zu können)

Was mir aufgefallen ist, Im Telefon sind die Anrufe nicht unter "gewählte Nummern" zu sehen.

Bei fonial im System jedoch schon unter ausgehende Anrufe. (Incl. Berechnung der Kosten)

Was mir auch auffällt, wenn ich mich im zelefon über das Netzwerk 192.1xx.x.xx einloggen möchte (seit dem Vorfall heute) zeigt das Login des Telefons an dass ich aufgrund zu vieler fehlgeschlagener Anmeldeversuche eine Wartezeit von 1 Minuten warten muss.

Habe fonial auch das geschrieben dass ich Anmeldeversuche habe und vermute dass ihr System versucht mein Telefon zu konfigurieren, was aber nicht mehr geht. Mir ist aufgefallen dass beim neuen Telefon der hacken bei Autoprovisionierungen automatisch von fonial gesetzt und ausgegraut würde. Anscheinend ist das.standard. ich habe gebeten den hacken zu entfernen weil ich das nicht möchte.

 

[Alex_P]

in meiner FB habe ich für die Auslandsanrufe und alle nichtgewünschte ein PrepaidSIPKonto mit 0€ Kontostand (Sipgate bzw. Betamax) definiert. Ansonsten gibt's feste Wahlregeln.
Da das SNOM Möglichkeit für 12 SIP-Accounts bietet könnte man wahrscheinlich ähnlich vorgehen

 

[FlyingToaster]

Die Autoprovisionierung des SNOMs sollte man ganz sicher verhindern können, wenn man es als generisches Telefon "Anderer Hersteller" anlegt.

 

[H´Sishi]

"Fehlgeschlagene Anmeldeversuche" am Telefon - das Telefon war in dem Fall das Tatwerkzeug.

@Namlus: Hinter was für einem Router hängt das Telefon bei Dir?

Das Setup sollte so sein, daß der Router den Fonial-Account verwaltet, das Snom als IP-Telefon im Router registriert ist und das Snom außerdem keine Portfreigabe bekommt. Ohne Portfreigabe ist es dann nicht von außen erreichbar.

 

[KunterBunter]

Hinter was für einem Router hängt das Telefon bei Dir?

@Namlus hat einen o2 Homespot. Der kann den Fonial-Account verwalten und das Snom als IP-Telefon im Router registrieren aber nicht.

 

[Namlus]

@Namlus hat einen o2 Homespot. Der kann den Fonial-Account verwalten und das Snom als IP-Telefon im Router registrieren aber nicht.

Nein so eine hatten wir mal wir haben einen Hybridrouter der Telekom -> über Leitung + Sim

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

"Das Setup sollte so sein, daß der Router den Fonial-Account verwaltet, das Snom als IP-Telefon im Router registriert ist und das Snom außerdem keine Portfreigabe bekommt. Ohne Portfreigabe ist es dann nicht von außen erreichbar.

Verstehe ich richtig?: SIP im Router registrieren und die SIP ID beim Telefon leer lassen? Wenn ja, wie verknüpfe ich dann das Telefon mit dem Router?

 

[Wechseler]

gab es eine Firmware-Generation für die AVM-FritzBoxen, die eine Ferneinrichtung von IP-Telefongeräten aus dem Internet ermöglicht hat. Ich selbst war ebenfalls Opfer; innerhalb von 12 Stunden (spätabends bis Mittag) wurden über 800 Euro Telefonrechnung verursacht, bezahlen mußte ich die Rechnung auch ...

Das heißt, AVM kam für diesen Schaden nicht auf?

Aus der Aktion haben sowohl AVM (2-Faktor-Bestätigung per Tastenkombination) als auch ich gelernt (Rufsperren in's Ausland in der Box und beim Anbieter konfiguriert).

Das heißt, du hast AVM als Hersteller nicht rausgeschmissen? Im Ernst?

 

[H´Sishi]

Daß AVM hier an andere Anwender Schadenersatz gezahlt hat hätte ich mitbekommen (ich war nicht der einzige); in dem Fall hätte ich ebenfalls meinen Schaden geltend gemacht.
AVM hat die Firmware nachgebessert und sowohl die Lücke geschlossen als auch weitere Sicherheitsstufen implementiert.

---

Es gibt keine "HowTo's", wie man in so einem Fall verfahren soll - sicher, ich hätte einen Anwalt suchen können, aber bei "nur" 800 Euro Streitwert passiert nicht viel außer ein paar Schreiben, die sich über Monate hingezogen hätten.
Die tatsächlichen Täter wären bis dahin nicht mehr ermittelbar gewesen (ich bezweifle, daß Palästina eine Vorratsdatenspeicherung hat) und am Ende wäre ich auf den 800 Euro PLUS Anwaltsgebühren PLUS Kosten für die erfolglose Täterermittlung sitzengeblieben.
Die Angerufenen (deren Rufnummer im Ausland war bekannt) werden sicher keine deutschen Telefonkosten übernehmen, wenn sie angerufen werden und die tatsächlichen Anrufer (von denen ich nur die IP's hatte) sind in einem Gebiet, welches in einen andauernden Krieg involviert ist, schwer zu ermitteln.
Und selbst wenn - auch bei denen müßte ich meinen Schaden durchsetzen. Viel Spaß dabei, in deren Ländern einen Prozess zu starten ...

---

Welche Alternative gibt es denn für Nicht-Telekom-Kunden im Heimanwenderbereich?
AVM hat die Firmware nachgebessert und sowohl die Lücke geschlossen als auch weitere Sicherheitsstufen implementiert.

 

[NDiIPP]

Das heißt, AVM kam für diesen Schaden nicht auf?

Da hätte vermutlich erst einmal ein Gericht feststellen müssen ob die Sicherheitslücke bzw. Bug in FRITZ!OS vermeidbar gewesen wäre bzw. auf grober Fahrlässigkeit beruhte. Imo ist das damals nicht geschehen.

Des Weiteren wäre wohl auch die Frage zu stellen bzw. dabei wohl entscheidend, ob dies vor Bekanntwerden der Lücke und der Verfügbarkeit eines Sicherheitsupdates passiert ist oder ggf. erst (einige Zeit) danach (weil man vielleicht kein Update durchgeführt hatte).

Das heißt, du hast AVM als Hersteller nicht rausgeschmissen? Im Ernst?

Um dann mit dem nächsten Hersteller, der ggf. noch nicht "gelernt" hat(te), auf die Schnauzte zu fliegen?

 

[H´Sishi]

Damals, Ende 2014, war ich noch DSL- und Telefoniekunde von Vodafone. Selbstredend waren die a) keine Hilfe und haben b) natürlich auf die Rechnung bestanden ... die Telefonate sind schließlich von meinem Anschluß aus geführt wurden.
Aber das Argument bringen alle Anbieter.

 

[IEEE]

Es ist am wahrscheinlichsten dass die Rufe über http Requests beim Telefon eingeworfen wurden. Auf diesem Weg können auch recht einfach die Einträge in den gewählten Rufnummern eliminiert werden, so wie Du das beschreibst.
Siehe https://service.snom.com/display/wiki/Remote+phone+control

Denkbar wäre auch eine Schwachstelle in der SNOM Firmware. Das wollen wir aber mal nicht hoffen.

Hier wäre das Log des Telefons interessant gewesen. Hier kann man sowas meist ganz gut sehen.

In jedem Fall aber, selbst wenn Du die schwächsten Kennwörter hast und selbst wenn die SNOM Firmware noch so schlimme Lücken hätte, sollte niemand von außen in der Lage sein, auf Dein Telefon zuzugreifen. Also das musst Du unbedingt klären wie das möglich war. Für mich wären hier eigentlich nur Portfowardings oder irgendwelche UPnP Mechanismen am Router denkbar. Ich habe auch schon den Fall gesehen, dass aufgrund Audio Probleme das Telefon am Router als "Exposed Host" oder "DMZ Host" eingetragen wurde. Das ist natürlich absolut giftig, weil das Telefon damit komplett offen im Internet steht.
Bis zur Klärung würde ich das Telefon nicht unbeobachtet lassen bzw. den Strom ziehen.

Vielleicht kannst Du hier am Laufenden halten. Weitere Erkenntnisse sind mitunter für viele hier interessant.

EDIT:
Habe erst jetzt bemerkt, dass Dein Posting die Logs enthält. Leider zeigen diese nur an dass es fehlgeschlagene Loginversuche gab, aber nicht von wem. Speziell die IP Adresse wäre hier sehr interessant gewesen und ob es eine innerhalb oder außerhalb Deines Netzwerkes ist. Hier müsste man vielleicht das Loglevel erhöhen um mehr Informationen zu sehen.

Weiters enthalten Deine Files Telefonnummern und Namen, ich würde diese aus Datenschutzgründen nicht so online stehen lassen.

 

[Wechseler]

Damals, Ende 2014, war ich noch DSL- und Telefoniekunde von Vodafone.

Das heißt, das war vom Provider gestellte Hardware?

 

[H´Sishi]

Nein, eigene FritzBox. Damals noch die 7390.

Ich bin kein Freund von Provider-Hardware ... manche Provider schalten Funktionen nur gegen monatliche Extra-Miete frei und die so über Jahre überbezahlte Hardware gehört einem am Ende nicht mal.

*Edit* Außerdem haben Eigentums-Geräte den Vorteil, daß man sie bei einem Upgrade als Ergänzung zur bestehenden Hardware weiterverwenden kann (in meinem Fall die 7390 als DECT-Repeater und LAN-Switch).

 

[Wechseler]

Nein, eigene FritzBox. Damals noch die 7390.

Wie hat das funktioniert? Es gab doch 2014 bei Vodafone keine Routerfreiheit. Bist du da mit irgendwelchen ausgelesenen SIP-Daten unterwegs gewesen? Dann hättest dir damit natürlich ein schönes Eigentor geschossen.

manche Provider schalten Funktionen nur gegen monatliche Extra-Miete frei und die so über Jahre überbezahlte Hardware gehört einem am Ende nicht mal.

Die EasyBox (Hersteller Sphairon) hat meines Wissens seinerzeit nichts extra gekostet und hätte dich zuverlässig vor der 800€-Rechnung bewahrt.

Es zeigt ganz schön, daß das Spielen mit VoIP-Hardware nicht ganz frei von Kostenrisiken ist, insbesondere wenn sie aus dem Hause AVM kommt.