Anrufe auf teure Nummern Rätsel der Fritzbox-Attacken offenbar gelöst

Das Rätsel um kostspielige Anrufe von gekaperten Fritzbox-Routern scheint gelöst. Der Hersteller AVM erklärte, es handele sich um einen Angriff auf eine Schwachstelle des Routers, und kündigte Updates an. Einem Bericht zufolge ist die Zahl der Betroffenen weit größer als bisher angenommen.


Hamburg - In Millionen Haushalten stehen Fritzbox-Router des deutschen Herstellers AVM. Seit einigen Tagen häufen sich Berichte, dass die Geräte von Unbekannten aus der Ferne gekapert und für kostenpflichtige Anrufe zu Mehrwertnummern missbraucht werden. Bislang war rätselhaft, wie die Angreifer an alle notwendigen Daten für diese Attacke kommen konnten, denn sie brauchten die IP-Adresse des Routers sowie Benutzernamen und mehrere Passwörter. Nun erklärt AVM-Sprecher Urban Bastert: "Uns ist es durch intensive Entwicklungsarbeit gelungen, das Angriffsmuster zu erkennen."

In einer Mitteilung auf der AVM-Website heißt es, die Täter hätten offenbar "über den Port 443 einen Angriff durchgeführt" und seien so in die Router eingedrungen. Die Mitteilung weiter: "Dabei konnten auch Passwörter entwendet werden." Im Klartext: Der Router hat offenbar eine Sicherheitslücke, die aber, so versichert Bastert "nur mit hoher krimineller Energie" ausgenutzt werden konnte.

Möglich war der Angriff nur bei jenen Nutzern, die den Fernzugriff auf ihre Fritzbox über eine https-Verbindung und den bewussten Port 443 aktiviert hatten. Bastert schätzt, dass "etwa 10 Prozent der Nutzer diesen Port aktiviert haben". Wird dieser Zugangsweg geschlossen, ist der Angriff AVM zufolge unmöglich. Standardmäßig ist er deaktiviert. AVM rät rät des Weiteren dazu, alle Passwörter zu ändern, die im Router gespeichert sind. Wer den Fernzugriff nie aktiviert hatte, muss sich nach derzeitigem Stand der Dinge keine Sorgen um seine Fritzbox machen.

Für ein bestimmtes Fritzbox-Modell mit der Modellnummer 7390 gibt es bereits ein Sicherheits-Update, das das Problem lösen soll, weitere sollen über das Wochenende folgen, wie AVM mitteilt.

Bislang hatte AVM von "einigen Dutzend Fällen" gesprochen. Einem Bericht von Radio Bremen zufolge sind jedoch weit mehr Fritzbox-Besitzer betroffen. Man gehe "derzeit von einer mittleren dreistelligen Zahl betroffener Kunden aus", zitiert der Sender einen Sprecher des Unternehmens Kabel Deutschland. Diese Zahl bezieht sich aber wohl nur auf Kunden dieses einen Internetanbieters.

Doch auch Kunden weiterer Provider sind betroffen, etwa von UnityMedia. Andere Anbieter, deren Kunden zum Teil ebenfalls Fritzboxen nutzen, erklärten Radio Bremen zufolge, ihnen seien derzeit keine Fälle bekannt: 1&1, Vodafone, die Telekom und die Telekom-Tochter Congstar. Es gibt allerdings Berichte über Kunden von Betreibern, die ebenfalls betroffen sein sollen. So berichtete "Der Westen" vergangene Woche von einem 1&1-Kunden, auf dessen Telefonrechnung sich durch Missbrauch seiner Fritzbox Kosten von über 4000 Euro angesammelt hatten.

cis



Forum - Diskutieren Sie über diesen Artikel
insgesamt 88 Beiträge
Alle Kommentare öffnen
Seite 1
sbo 07.02.2014
1. Wie wäre es von den Telefonanbietern ...
... einfach bei den"bösen" Nummern nicht abzurechnen, wenn die doch bekannt sind. Aber ich in diesem Leben werde ich wohl logisch und menschlich denkte Großkonzerne nicht mehr erleben ;-)
stabilobacter 07.02.2014
2. wo bleibt jetzt der nutzen der vorratsdatenspeichErung
Wie lauten die ipadressen der hacker? Natuerlich, sind halt keine schuetzenswerten objekte, die daten und der besitz der buerger. Sowas geht nicht ohne spuren! Ist doch ein echter weckruf der vorfall oder nicht! ? Gruss stabilobacter
mat_1972 07.02.2014
3. cw4tjcwj
Also ich koennte mir gut vorstellen, dass das alles noch gespeicherte/abgegriffene Anmeldedaten aus dem Bestand der NSA sind..... und die haben wen beauftragt diese nun auszunutzen. Und warum sollten die das tun? Ganz einfach: Um alternative (wie in diesem Fall), deutsche Hersteller zu diskreditieren. Damit der Anwender auch schön die Zugangshardware/Router aus dem Hause "NSA" kauft. Und auf denen ist halt deren Spy-Ware schon fest implementiert. Klingt zu abgedreht? Wohl kaum.
TS_Alien 07.02.2014
4. .
Selbst bei den ganz Großen werden Attacken kaum zur Anzeige gebracht. Dabei muss man nur die ganzen mutmaßlichen Mittäter (z.B. Kontobesitzer, Betreiber der teuren Telefonanschlüsse, ...) ins Gefängnis bringen, sollte sich ihr Schuld beweisen lassen. Das dürfte aber nicht wirklich schwierig sein. Den Laien sollte man das Märchen vom Hacker aus der Ferne nicht mehr erzählen. Im aktuellen Fall wird so eine Box gekauft und offline bearbeitet. Das kann in vielen Fällen automatisch passieren, man benötigt noch nicht einmal Fachwissen dafür. Genauso läuft es bei Attacken auf Logins und Passwörter vieler Anbieter ab. Die Daten werden von einigen Mitarbeitern dieser Anbieter verkauft (auch kleinere Shops besitzen durchaus viele Logins) und offline geknackt (man muss mögliche Passwörter hashen und mit den gehashten Passwörtern vergleichen). Danach werden die gefundenen Passwörter bei anderen Anbietern ausprobiert. Ein paar Treffer sind immer dabei. Die Masse macht es.
wolfi55 07.02.2014
5. Providerproblem
Das Problem sind die Provider, die die Zugangsdaten aus der Ferne einspielen wollen und nicht den Kunden zukommen lassen. Deswegen muss dann der Zugang von außen offen sein. Sicher ist auch, wer keine IP-Telefonie auf dem Router laufen hat, was immer seltener wird.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.