Ich betreue das Netz einer kleinen Firma. Bei einer routinemäßigen Kontrolle der Logfiles des Routers/Telefonanlage (Draytek Vigor 2820) fand ich, dass jemand oder etwas innerhalb von 6 Minuten eine ziemlich lange Rufnummer (970******385) mit den unterschiedlichsten Vorzeichen und Vorwahlen ca. 70 mal versucht hat zu wählen. Also ca. alle 5 Sekunden ein neuer Versuch. Es ist nicht gelungen, weil nicht der korrekte Prefix für eine Wahl nach Draussen benutzt wurde. War das nun ein Verrückter oder gibts Viren für sowas? Von den Mitarbeitern war angeblich niemand mehr in der Firma zu der Zeit.
Viren nicht direkt, aber Bots die im Netz nach offenen SIP Ports suchen und diese attackieren. Meistens werden einfach übliche Benutzer und Passwortkombinationen durchprobiert, teilweise werden auch Schwachstellen in einigen SIP-Implementierungen attackiert. Du solltest den Port nach außen hin dicht machen oder wenigstens mit ordentlichen Passwörtern sichern und die TK-Anlage/Router auf einem aktuellen Stand halten und regelmäßig die Aktivitäten überwachen.
Das gab es schon in den 80ern, dass irgendwelche Hacker mittels Modem automatisiert ganze Nummern systematisch durchprobiert haben um irgend ein verstecktes Fax oder eine Mailbox zu finden. Ich wüsste keinen Grund, warum es so etwas heute in entsprechender Form nicht geben sollte. Heute werden ja auch ganze Gebiete oder Firmen(gelände) nach offenen WLANs durchgescannt.
Als Absenderrufnummer wurde die interne Rufnummer eines DECT-Handsets verwendet, also kein Angriff von Aussen (sieht zumindest nicht danach aus). Wenn das Handset an der Basis registriert ist, kann sich doch eigentlich auch keiner "dazwischen drängeln", oder? Ich habe für die DECT-Authorisierung NICHT "0000" genommen, sondern eine quasi zufällige Zahlenfolge, ohne Beziehung zur Firma oder Personen. Allerdings sind vier Stellen natürlich nicht viel ... Es ist auch kein SIP-Port offen, SIP findet nur firmenintern statt, für externe Telefonate wird ein ISDN-Trunk benutzt. Das Firman-WLAN ist per WPA2 und mit einer ziemlich langen Passphrase (ein Nonsens-Satz) gesichern.
Doch das ist von draußen, da kann man beliebige Absenderrufnummern angeben. Solche Sachen sehe ich auf meinem Asterisk auch regelmäßig. Ist halt so. Mit Viren hat das nichts zu tun, das sind einfach Leute die versuchen einen offenen VoIP-Proxy zu finden um darüber Premium Rufnummern gratis anzurufen um an Geld zu kommen.
Wenn die Basis permanent Registrierung zulässt sind die 10000 möglichen Kombinationen recht schnell durchprobiert, trotzdem halte ich einen Angriff über DECT doch eher für unwahrscheinlich, da man dafür doch spezielles Equipment oder viel Zeit braucht. Ich tippe eher auf einen Rechner im internen Netz, der sich einen BOT eingefangen hat; dafür sprechen auch die von Dir erwähnten und für deutsche Verhältnisse merkwürdigen Vorwahlen.
Dialer, die teure Nummern angerufen haben, gibt es schon ewig. Deshalb sollte man das sperren was man nicht braucht. http://de.wikipedia.org/wiki/Dialer Haben Virenscanner auf den PCs was bemerkt? Da könnte man mal gründlicher nachsehen/updaten.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.