VoIP-Angriffe: Betrifft es mich?

Unbekannten gelang es, die VoIP-basierte Festnetztelefonie von M-Budget von fünf Kunden für 14 Anrufe zu missbrauchen (PCtipp berichtete). Die IT-Security des Unternehmens konnte jedoch schnell eingreifen. Bei dem Vorgehen handelte es sich Migros zufolge um einen klassischen «VoIP-Fraud».

Wie uns Max Klaus von der Melde- und Analysestelle Informationssicherung (Melani) zusichert, gingen weder bei Melani noch beim Fedpol in letzter Zeit vermehrt Meldungen zu klassischem VoIP-Fraud ein.

Wie wir vermuten, hält sich die Zahl der Betrugsfälle über VoIP bei den grossen Privatanbietern wie UPC und Swisscom gegenüber Kaperangriffen aus dem Business-Bereich stark in Grenzen. Einerseits setzen nach unserer Einschätzung beide Anbieter eine Anti-Fraud-Software oder ein gezieltes Software-Monitoring ein, um das Netz auf Unregelmässigkeiten zu prüfen. Andererseits sind Privatkunden ein weniger attraktives Ziel für eine geschickt orchestrierte Angriffstaktik. 

Zugang zu einem VoIP-Telefonsystem (PBX) erlangen Kriminelle meist durch die Wartungs-Software, wenn diese etwa nur durch eine Standard-PIN geschützt ist. Täter versuchen dabei meist, an einen Kommunikations-Port einer solchen Anlage zu gelangen. Eine Port-Schnüffelung (sogenanntes Spoofing) wird gezielt durch Scripts eingeleitet. Sobald das Script einen Server hinter einem Port entdeckt, wird über eine bestimmte Rufnummer versucht, eine Verbindung zur PBX-Anlage aufzubauen. Hierbei werden mehrere Standard-Passwörter durchprobiert. Dabei kommen meist sogenannte Mehrwertnummern zum Einsatz. Ein Beispiel in der Schweiz sind vor allem die 0900er-Nummern, die über das Telefonabonnement bezahlt werden. Haben die Missetäter einmal die Kontrolle erlangt, können diese danach die Telefonleitung mit einer der von ihnen eingerichteten Mehrwertdienstnummern verbinden. 

Zwar verweist die Migros auf der Infoseite auf Tipps der Melani im Umgang mit Social Engineering, die nichts mit VoIP zu tun haben. Dennoch ist immer Vorsicht geboten, wann immer fremde Personen Zugangsdaten (etwa zu Ihrem Provider) oder persönliche Informationen herausfinden wollen. Bei VoIP-Anbietern abseits der Swisscom und UPC sollten Sie bei der Einrichtung sichere Login- und VoIP-Passwörter festlegen und gleich die Standard-Passwörter ändern.

Im Halbjahresbericht 2012/II hat Melani im Kapitel 3.8 einen Abschnitt über VoIP publiziert: