Dieser Blogbeitrag ist der zweite Teil unsere Serie rund um neueste Anrufbetrugs- und Hacking-Methoden, die wir aktuell beobachten. Im ersten Teil haben wir bereits die Nutzung schwacher Anmeldeinformationen angesprochen. Heute widmen wir uns einer pikanten Thematik, hinter welcher Hacker normalerweise her sind: das Tätigen “kostenlose” Anrufe über Ihre SIP-Trunks.
Was ist das ultimative Ziel des Hackers?
Sobald er sich Zugang zu einem Benutzergerät oder einer Nebenstelle verschafft hat, wartet der Angreifer in der Regel ab, bis es Nacht oder Wochenende ist. Zu einem Zeitpunkt, wenn niemand mehr im Büro ist, versucht dieser dann, Testanrufe zu ausländischen Zielen zu tätigen. Sobald ein funktionierendes Ziel gefunden wurde, werden massenhaft Anrufe zu diesem Ziel getätigt – und der Anrufbetrug nimmt seinen Lauf.
Die angewählten Ziele sind überteuerte Premium-Rufnummern, die mit automatischen Anrufbeantwortern verbunden sind, welche aufgezeichnete Nachrichten abspielen und versuchen, die Anrufe dorthin so lange wie möglich laufen zu lassen. Sie fragen sich jetzt, wozu das gut sein soll?
Nun, Hacker profitieren davon erheblich: Denn sie sind diejenigen, die diese Nummern via Online-Maklern für Premium-Nummern überhaupt erst eingerichtet haben. Warum? Sie erhalten eine Provision pro hergestelltem Anruf und/oder pro in der Leitung verbrachter Minute. Diese zusätzliche Gebühren werden von Ihrem VoIP-Anbieter automatisch an den Anbieter des Premiumdienstes gezahlt, der dann einen Teil dessen als Provision an den Eigentümer der Rufnummer zahlt. Ihnen werden darauf alle entstandenen Kosten von Ihrem VoIP-Anbieter am Ende des Monats in Rechnung gestellt. Die Überraschung mag dann groß sein, aber es bereits zu spät.
Einige Hintergrundinformationen
Diese Art des Anrufbetrugs wird als International Revenue Share Fraud (IRSF) bezeichnet und ist in der Telekommunikationswelt schon seit mindestens 30 Jahren bekannt. Mit den Fortschritten von VoIP ist dieses Vorgehen jedoch industrialisiert und automatisiert worden und verursacht Schätzungen zufolge jedes Jahr Verluste in Milliardenhöhe. Die Communications Fraud Control Association (CFCA) schätzt in ihrem Fraud Loss Survey 2019, dass es sich dabei um die größte aller Betrugsarten handelt, welche insgesamt 5,04 Milliarden Dollar kostet. Es besteht kein Zweifel daran, dass dieser Wert im Covid-Zeitalter noch weiter gestiegen ist.
Fazit: Sollte Ihr System von Anrufbetrug betroffen sein, dann müssen Sie möglicherweise eine hohe Rechnung begleichen, die mit etwas Glück in die Hunderte, meistens aber in die Tausende und mehr gehen kann.
Was führt zu Anrufbetrug?
Um sich vor Anrufbetrug bestmöglich zu schützen, ist es sinnvoll, alle möglichen Einfallstore schon im Vorfeld zu identifizieren und zu schließen. Auf einige Faktoren und schlechte Praktiken, die es Hackern oft sehr einfach machen, möchten wir an dieser Stelle näher eingehen, damit Sie diese in der Zukunft vermeiden.
Saloppe Konfiguration von ausgehenden Regeln
Zunächst sollten Sie keine zu lockeren Regeln für Ihre ausgehende Verbindungen aufstellen. Eine gute Praxis ist es, getrennte Regeln für internationale Nummern und nationale/lokale Nummern zu haben, wobei die internationale Regel stets diejenige ist, die am meisten eingeschränkt werden sollte.
Internationale Rufnummer beginnen gemäß den ITU-Normen in den meisten Ländern mit einer Vorwahl wie + oder 00. Andere Länder wie die USA haben eine andere Vorwahl, nämlich 011. Sie können also eine Regel für all diese Kriterien – getrennt per Komma – aufstellen: “00,+”. Darüber hinaus lässt sich genau festlegen, wer über diese Regel tatsächlich Anrufe tätigen darf – entweder durch Auflistung von durch Komma getrennten Durchwahlnummern oder Nebenstellengruppen.
In vielen Ländern beginnt eine Ortsnummer mit 0 oder hat eine feste Länge. Auch dies lässt sich als Kriterium verwenden.
Eine nachlässige Liste zulässiger Länder
Zweitens sollte die Liste der zulässigen Ländercodes im Bereich”Sicherheit” streng definiert sein und an die Bedürfnisse des Anwenders angepasst werden. Sie sollten niemals aus Bequemlichkeit alle Länder zulassen oder denken, dass Sie diese später anpassen werden. Die Standardeinstellung beschränkt ausgehende Anrufe auf das Land, in welchem das 3CX-System installiert wurde, um Anrufbetrug zu verhindern.
Bei der Anwahl einer internationalen Rufnummer prüft das System, ob eine entsprechende Regel für ausgehende Anrufe vorliegt und ob die Landesvorwahl zulässig ist, bevor es den Anruf durchlässt.
Besondere Vorsicht ist geboten mit internationalen Nummern, welche nicht im internationalen Format gewählt werden. Einige Anbieter internationaler Nummern lassen Anrufe ohne die führende Vorwahl zu, so wird zum Beispiel 33123456789 bei einigen Anbietern mit Frankreich verbunden. Sie müssen daher prüfen, ob dies bei Ihrem VoIP-Anbieter der Fall ist, und die Regeln entsprechend anpassen.
Einige weitere Abwehrmechanismen
Schließlich gibt es zusätzliche Kontrollmöglichkeiten im Kampf gegen Anrufbetrug. Das Benutzer-Panel eines VoIP-Anbieters sollte wenn möglich wie folgt konfiguriert werden:
- Konfiguration von Länderbeschränkungen in Übereinstimmung mit denen in 3CX
- Begrenzung der maximal zulässigen simultanen Anrufe ins Ausland
- Beschränkung von Guthaben und Vermeidung unbegrenzter automatischer Aufladung
- E-Mail-Benachrichtigungen und/oder Kontosperrung bei verdächtigne Anrufaktivitäten
Seien Sie gespannt auf die nächste Folge und …seien Sie nicht “DIESER” Typ!
