[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

Status
Für weitere Antworten geschlossen.
Das wie ist mit Sicherheit bekannt, oder warum hat es 6 Monate gedauert das ganze mal Publik zu machen?
Meine Emailadressen waren zum Glück angeblich nicht dabei.
Habe aber trotzdem alle meine Zugänge von einem frischen Rechner aus neu gemacht!
 
Frage: Wie würdet Ihr/Du vorgehen, wenn dafür 6 Monate Zeit ist?
 
Was meinst Du mit "täglich"? Bei den Kabel-Provider bekommt man nicht täglich, eine neue IPv4-Adresse.

Dann müßte ich meine Zahl von oben um den Faktor 0.82 korrigieren.
Bleiben ca. 16.000.000.000.000 Kombinationen für eine Brute-Force Attacke zwischen Zugangsdaten (zur Box) und aktueller IP-Adresse.
Es bleibt die Frage offen, wie ich zu bekannten Zugangsdaten die passenden IP (des Tages) finde.
 
was mich bei der bekannten Sachlage noch interessieren würde ist, wie die bösen Buben zu der aktuellen IP der Box während des Einbruchs gelangt sind.

Vermutlich konnten sie sich mit den Zugangsdaten bei MyFritz an melden und dort herausfinden, unter welchem Namen die IP-Adresse der Box abrufbar ist.
 
Oder vielleicht so?!
myfritz_lost_password_01.png
...kann ja mal vorkommen.
 
... sich mit den Zugangsdaten bei MyFritz an melden...

Dafür würde/könnte sprechen, daß MyFritz aktuell nicht erreichbar ist ...
Das würde allerdings auch bedeuten, daß AVM doch in den letzten Tagen vergleichsweise hohe LogIn-Zahlen registriert haben müßte ...
 
Das wäre aber peinlich, von wegen Massenhack.
:rolleyes:
 
Desweiteren scheint es dann, vorbehaltlich der von RalfFriedl vermuteten Möglichkeit des IP-Abrufs via MyFritz, generell keine so gesunde Methode zu sein, MyFritz zu nutzen ...
Weil man eben dann, wie evtl. im vorliegenden Fall, über mehr oder weniger einfach gekaperte Mail-Konten auch direkt an die IP-Adressen der Boxen der Mail-Account-Inhaber käme.
Quasi so, als wenn ich einen No-IP-Account in meine Signatur schreibe.
Trotzalledem müßte, wenn es denn so wäre, ein solcher Massen-Login (gemessen am Tagesdurchschnitt) bei AVM eigentlich auffallen ...
Grüße,

JD.
 
Pardon, stimmt, ich mußte erst den Proxy weglassen ...
Aber wenn Du dort einen Account hast bzw. diesen Dienst nutzt, könntest Du ja mal die These von RalfFriedl bestätigen oder widerlegen.
 
Hallo

Seht ihr meinen #46er Post nicht?
Wie lange würde ein Tastarturbewanderter Tipper für 100 EMail Adressen brauchen?

Vergeßt die Frage, ich würd Copy 'n' Paste 'n' Click'en.
Danach in aller Ruhe die Treffer aus dem (EMail) Account kopieren
und die betreffende Mail löschen.
 
Zuletzt bearbeitet:
Doch, wir haben den Post gesehen.
Für den einfachen Fall, dass das Passwort für das Email Postfach und das Passwort für MyFritz gleich sind, ist das aber völlig unnötig. Und wenn man 16 Millionen Email Adressen hat, muss man nicht alle nutzen, es reicht, die zu nehmen, wo es am wenigsten Arbeit macht.
 
Wie auch immer:

Irgndwie rückt für meinen Geschmack das MyFritz-Portal mehr und mehr in den Vordergrund. Und sollte es hier zu "ungewöhnlichem" Traffic gekommen sein (Brute-Force über alle Kombinationen können wir, glaube ich, vernachlässigen), müßte das bei AVM doch irgendwie bemerkt worden sein ....
Könnte denn mal jemand, der dieses Portal nutzt, was zur These mit der IP-Adresse sagen ?
 
Da braucht es keine IP Adresse, wenn einfach über myfritz.net nur hier...
myfritz_meine_geraete_01.png
...draufgeklickt werden braucht. Denn den Rest siehste in der Box.
Auch etwaiige DynDNS Zuordnungen.
 
Zuletzt bearbeitet:
Hallo,
MyFritz habe ich zur Zeit nicht aktiv. Schaue ich aber mal nach.

Wegen der IP: Wenn jemand über MyFritz in die Box gekommen ist, könnte er dann nicht einfach ein IP-Telefon angelegt und über MyFritz genutzt haben?

[EDIT]
Wenn man sich über die Geräteübersicht einlogt, erscheint IPv4 & IPv6... dahinter verbergen sich die IPs:
https://xx.yyy.zzz.aa/myfritz?user=hierstehtmeineMailadresse
 
Zuletzt bearbeitet von einem Moderator:
Also könnte sowas mit einem Script unter curl-Anwendung durchaus zu machen sein.
Was die These bezüglich des MyFritz-Portals nicht unbedingt widerlegt.
 
Irgndwie rückt für meinen Geschmack das MyFritz-Portal mehr und mehr in den Vordergrund. Und sollte es hier zu "ungewöhnlichem" Traffic gekommen sein (Brute-Force über alle Kombinationen können wir, glaube ich, vernachlässigen), müßte das bei AVM doch irgendwie bemerkt worden sein ....
Was ist "ungewöhnlicher" Traffic? Ein paar mehr Leute als sonst, die sich bei MyFritz anmelden? Und das kurz nachdem dazu geraten wird, Passwörter zu ändern?
Im oben verlinkten Artikel steht „In den letzten sechs Monaten gab es rund ein Dutzend Fälle.“ Was soll AVM machen? Einem Meldung auf der MyFritz Seite "Tut uns Leid, diesen Monat haben sich bereits 2 Leute angemeldet, versuchen Sie es nächsten Monat wieder"?

Da braucht es keine IP Adresse, wenn einfach über myfritz.net nur hier draufgeklickt werden braucht. Denn den Rest siehste in der Box.
Auch etwaigige DynDNS Zuordnungen.

Ich vermute mal, der IPv4 Link geht auf die Box. Da braucht man keine DynDNS Einstellungen in der Box mehr anzuschauen, die Meisten werden auch kein DynDNS zusätzlich zu MyFritz haben.
 
@SF1975: Genauso haben sie es gemacht, wenn noch keins angelegt war.
Ansonsten wird halt ein vorhandenes genutzt, nachdem das Passwort dafür geändert wurde. Oder ein zusätzliches angelegt, wie auch immer.
(So gesehen im Post eines UnityMedia Users, Thread hier im Forum)

EDIT:
RalfFriedl schrieb:
Ich vermute mal, der IPv4 Link geht auf die Box. Da braucht man keine DynDNS Einstellungen in der Box mehr anzuschauen, die Meisten werden auch kein DynDNS zusätzlich zu MyFritz haben.
Der Hacker könnte dir/mir aber einen spendieren. Jetzt schau ich erst Recht drauf!

PS: Mein EMail Account scheint laut BSI zwar nicht betroffen,
Fernzugang hab ich trotzdem deaktiviert. Mal sehen was
noch so alles passiert, ohne Opfer zu sein/werden.
 
Zuletzt bearbeitet:
Und das kurz nachdem dazu geraten wird, Passwörter zu ändern?

Nein, genau davor.
Also könnte man schlußendlich sagen, daß der Weg über MyFritz mäßig wahrscheinlich ist/war ?
Meine Frage war ja ursprünglich, wie man an die passende IP zu den ergaunerten Zugangsdaten gelangt, und daß wäre eine Antwortmöglichkeit.
Unter Usability-Gesichtspunkten, wie ich finde, auch die wahrscheinlichste.
Desweiteren:
Wenn ich über MyFritz übers Internet de facto die komplette Kontrolle über die Box habe ....
Würde ich mir überlegen, ob ich diese Kontrolle potentiell auch noch Anderen zugänglich mache (leichtes PW und/oder Account-Name = Mail-Addi usw.)
 
Zuletzt bearbeitet:
https://xx.yyy.zzz.aa/myfritz?user=hierstehtmeineMailadresse

Der Benutzer mit der Mailadresse wird zwar beim einrichten angelegt. Aber den kann man auch aus der Box raus nehmen.

Beim Link wird zwar die Mailadresse als Benutzer eingetragen - aber den kann man beim Zugriff auch überschreiben.
 
Status
Für weitere Antworten geschlossen.
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.