Das schmutzige Geschäft mit illegalen Calls

IP-Netze werden über Schwachstellen ununterbrochen attackiert. Hacker verschaffen sich so massenweise illegalen Zugang zu TK-Systemen, auf denen Telefonie-Software läuft. Von diesen manipulierten Systemen aus bauen die Angreifer Calls zu teuren nationalen und internationalen Servicerufnummern auf. Die entstandenen Schäden sind für Netzbetreiber und Kunden oft beträchtlich, die Betrüger kaum zu fassen. Mit dem Fraud-Management von Plusnet ist es möglich, Angriffe frühzeitig zu erkennen und zu stoppen. Hackerangriffe unterbinden können allerdings nur die Kunden selbst – indem sie ihre Systeme entsprechend schützen.

Systeme, die im Internet von außen erreichbar sind, werden ständig angegriffen. Diese Angriffe sind nicht immer zielgerichtet. Sie dienen oft der Suche nach Schwachstellen auf Systemen, die dann wiederum für Angriffe genutzt werden können. Der Fokus bei der Abwehr dieser Angriffe liegt auf beim Schutz der Server und des eigenen Netzwerks. Systeme für die Telefonie sind hier sowohl Einfallstor für weiteführende Angriffe als auch Ziel des Angriffs.

Ist ein System einem Angriff zum Opfer gefallen, kann dies zu ungeahnten Folgekosten führen, denn ist das System in der Hand der Angreifer, so nutzen sie die Telefonie, um Gespräche zu nationalen und internationalen Servicerufnummern zu tätigen und damit hohen Kosten für den Inhaber des Systems zu generieren.
Die Angriffe selbst kann das Fraud-Management nicht verhindern, dies liegt einzig in der Hand des Kunden, der die Systeme betreut. Das TK-Netz der Plusnet unterliegt einem permanenten Monitoring. Der über das Netz geführte Verkehr wird geprüft und auf Muster gefiltert, die auf eine missbräuchliche Nutzung hindeuten.

Die Zahl der öffentlich bekannt gewordenen Fälle ist in den vergangenen Jahren zurückgegangen und wurde von Fraud-Themen aus dem Mobilfunksektor – bspw. SIM-Karten-Manipulation – oder Software-Missbrauch verdrängt. Dennoch gibt es sie noch, die Angriffe auf Telefonanlagen: Im vergangenen Jahr wurde z.B. vom Bundesamt für Sicherheit in der Informationstechnik die Warnstufe Orange aufgrund eines Softwarefehlers in einer App eines großen Telefonanlagenhersteller ausgerufen.

Neben Schwachstellen auf Servern, die die Telefonanlage hosten, kommen Apps oder Webclients als Angriffsvektor in Frage. Befindet sich die eigentliche Telefonanlagensoftware hinter einer Firewall und wird durch kompetentes Personal betreut, muss dies in Zeiten von Home-Office bei Apps und Webclients nicht unbedingt der Fall sein.
Auch Anrufbeantworter oder Voicemail-Boxen sind ein beliebtes Angriffsziel, da sie in vielen Fällen weitere Leistungsmerkmale wie Rufumleitungen ermöglichen.
Mit Angriffen auf die TK-Infrastruktur ihrer Kunden und Partner hat auch die Plusnet als Netzbetreiber täglich zu tun. Im Jahr 2006 hat die Plusnet ein Fraud-Management etabliert, dass sich aktiv dieser Fälle annimmt. Das abteilungsübergreifende Team kümmert sich neben der Bearbeitung der Fälle auch um die Prävention, die Reduzierung der Schadsummen und die stetige Verbesserung der Software zur Missbrauchserkennung.

Wer die Arbeit des Fraud-Managements verstehen will, muss sich das Geschäftsmodell und die Vorgehensweise der Kriminellen einmal ansehen: Mit speziellen IP- beziehungsweise SIP-Scannern suchen sie nach Zugängen in VoIP-Applikationen. Diese Scanner spüren verwundbare IP-fähige Geräte wie Nebenstellenanlagen (PBX), Gateways oder Teilnehmer-Endgeräte (CPE) auf.

Die Angreifer verdienen ihr Geld über Gespräche zu ausländischen Servicenummern. Ähnlich wie in Deutschland erhält der „Besitzer“ der Servicerufnummer für jede Minute, die auf diese Nummer telefoniert wird, einen Betrag. Bei einzelnen Gesprächen fällt dies kaum auf, werden die Gespräche aber programmgestützt und parallel aufgebaut, so kommen hier schnell hohe Summen zusammen. Bei z.B. zehn parallelen Gesprächen über eine Stunde sind es insgesamt schon 600 Minuten, die je nach Minutenpreis schon mal 3 Euro für Satellitenverbindungen die Minute kosten. Damit belaufen sich die Kosten in diesem Beispiel auf ca. 1800 Euro. Das mag nicht nach viel klingen, aber mit steigender Anzahl an nutzbaren Kanälen oder wesentlich mehr Sprachminuten erreichen die Kosten schnell einen hohen vier- bis fünftstelligen Bereich.
Diese typische Betrugsmasche nennt sich „International Revenue-Share Fraud“.

Die Angreifer tun viel dafür, nicht entdeckt zu werden und somit den Schaden unentdeckt in die Höhe zu treiben.
Typisches Vorgehen ist:

• Es wird zu Bürozeiten getestet, ob Gespräche ins Ausland möglich sind. Falls diese Tests erfolgreich sind, wird der Angriff in der Nacht oder am Wochenende durchgeführt.
• Die Zielrufnummern und teilweise auch Zielländer variieren, um nicht direkt entdeckt zu werden.
• Es wird über Weiterleitungen von anderen Netzbetreibern gearbeitet, um den Ursprung der Gespräche zu verschleiern.
• Der Angriff findet am Wochenende oder in der Nacht statt, da Firmen und auch die Netzbetreiber zu diesen Zeiten in der Regel weniger Personal vorhalten.

Die Zielländer befinden sich überall auf der Welt, besonders beliebt sind Rufnummern in Ozeanien oder auf dem afrikanischen Kontinent. Hier sind die Kosten der Vermittlung besonders hoch und steigern somit den Gewinn für die Angreifer.

Eine Strafverfolgung ist kaum möglich. Die Angreifer nutzen gehackte Server oder Telefonie-Systeme, um ihre Spuren zu verwischen. Ermittelte IP-Adressen befinden sich in Ländern, in denen man in der Regel keine Auskunft zu den Nutzern erhält. Die Spur der Täter allein über das Netz zu verfolgen, ist somit kaum bis gar nicht möglich.
Die weltweit angerichteten Schäden sind immens. Laut Telesign sind sie von 2013 bis 2022 von 1,8 Milliarden US-Dollar auf 10,76 Milliarden US-Dollar weltweit angestiegen.

Um Schäden möglichst gering zu halten, ist es für den Netzbetreiber wichtig, Auffälligkeiten im Telefonie-Verhalten schnell zu entdecken. Das Fraud-Management der Plusnet wird dabei durch ein selbst entwickeltes Tool unterstützt, das dynamisch an sich ändernde Situationen angepasst werden kann und permanent weiterentwickelt wird.
Erfolgt eine Alarmierung durch dieses Tool, analysieren erfahrene Spezialisten die Situation und leiten ggf. weitere Schritte ein, wie beispielsweise Sperrung des Anschlusses für internationale Verbindungen.
Im Nachgang unterstützt das Fraud-Management auch Kunden von Plusnet bei der Kommunikation mit den Strafverfolgungsbehörden und stellt ihnen notwendige Informationen zum Fall zur Verfügung.

Die Hauptverantwortung zur Vermeidung von Fraud-Fällen trägt allerdings der Endkunde: TK-Systeme bzw. IT-Infrastruktur liegen in seinem Hoheitsbereich – ebenso die Verwendung sicherer Kennwörter bei SIP-Accounts, Online-Portal und Nebenstellen. Die gilt besonders für den Einsatz der zahlreichen, im Internet frei verfügbaren Software-Kommunikationslösungen.

Das Fraud-Management kann Angriffe nur erkennen und stoppen, die Prävention liegt in den Händen des Kunden. Mit ein paar einfachen Regeln können Sie eine Telefonanlage gegen Angriffe von außen absichern:

• Verwenden Sie komplexe Passwörtern, für die Anlage und für die auf der Anlage eingerichteten Accounts! Das ist ein sehr wichtiger Schritt, denn einfache Passwörter oder Passwörter, die auf einer Passwortliste zu finden sind, können einfach angegriffen und ausgenutzt werden.
• Halten Sie Ihr System auf dem aktuellen Stand. Veraltete Systeme bilden oft ein Einfallstor für Angreifer. Die Schwachstellen sind bekannt und die Angreifer nutzen diese sofort aus.
• Sichern Sie Ihre Systeme ab! Lassen Sie, wenn möglich, nur Verbindungen auf Ihre Telefonanlage zu, die auch wirklich notwendig sind.
• Schalten Sie nicht genutzte Dienste auf der Anlage ab oder aktivieren Sie diese Dienste nur für die Rufnummern/Nebenstellen, die auch wirklich diesen Dienst benötigen.
• Reduzieren Sie die maximale Anzahl paralleler Verbindungen, die von einer Rufnummer aufgebaut werden können, auf ein Minimum. Sicherlich nur selten muss ein Nutzer die Möglichkeit haben, 10, 20 oder 30 Gespräche parallel aufzubauen.
• Sperren Sie in Ihrer Telefonanlage oder bei uns im Portal Gespräche zu internationalen Zielen und zu Mehrwertdiensten. Wenn Ihre Anlage dies unterstützt, können Sie die Gespräche zu internationalen Zielen auch nur außerhalb der Geschäftszeiten sperren.

Durch den Wegfall der ISDN-Technik haben sich die Gefährdung und das Potenzial für Schäden erhöht. ISDN hatte die Möglichkeiten für Angriffe aufgrund der gekapselten Zugangsmöglichkeiten zur Anlage und aufgrund der physikalischen Einschränkungen von sich aus reduziert.
IP-basierte Systeme hingegen bieten mehr Angriffsfläche und somit mehr Möglichkeiten, diese auch auszunutzen. Aktuelle TK-Systeme hingegen werden immer komplexer und integrieren zunehmend in die Systemlandschaft des Unternehmens. Somit ergeben sich auch immer mehr Angriffsmöglichkeiten, wie beispielsweise Apps mit Zugriff auf die TK-Anlage, Teams-Integration usw. Die Integration in die TK-Systeme birgt somit auch neue Risiken.
Gerade im SoHo-Bereich sind viele Firmen zu klein, um eine eigene IT-Abteilung zu unterhalten. Der Fokus auf Schwachstellenmanagement und Absicherung der Systeme wird mitunter bei diesen Kunden vernachlässigt und es entsteht somit ein Wildwuchs an Softwareständen und Sicherheitslücken im Netz, die sich Angreifer aktiv zu Nutze machen.

Headerbild Quelle. pixabay/StockSnap

Veröffentlicht am 18. Juni 2024