VoIP-Fraud, eine unterschätzte Gefahr

Das Internet bietet viele Einfallstore für Kriminelle. Bekannt sind Phishing, Cryptolocker oder betrügerische Mailings, die mit Millionengewinnen locken. Viel weniger Aufmerksamkeit wird hingegen der Gefahr des Voice-­over-IP-Betrugs (VoIP-Fraud) geschenkt. Durch diese Masche können bei Unternehmen und Privatanwender erhebliche finanzielle Schäden entstehen.

Das Problem des VoIP-Fraud ist dabei keineswegs neu, schon seit vielen Jahren wird hiermit Geld ergaunert. Bei Swisscom hält sich die Zahl der VoIP-Fraud-Fälle bei Privatkunden auf niedrigem Niveau, die Tendenz ist aber steigend. Hingegen seien VoIP-Fraud-Fälle im Businessbereich schon längere Zeit an der Tagesordnung, erklärte der Telko auf Anfrage. Betroffen sind dabei keinesfalls nur Endkunden. Bei kleineren VoIP-Anbietern kann VoIP-Fraud auch erheblichen Schaden anrichten. Der Schweizer Anbieter Foxfon ist vermutlich durch VoIP-Angriffe und die daraus resultierenden Schadensersatzforderungen Anfang des Jahres in die Knie gegangen.

Die VoIP-Fraud-Masche

Daniel Maier, Geschäftsführer der Winet Network Solutions AG, hat das Vorgehen von ­Hackern bei einem VoIP-Fraud in einem Gespräch detailliert geschildert:  Zunächst versuchen die ­Kriminellen an einen Kommunikations-Port ­einer internetbasierten Telefonanlage, auch "Private Branch Exchange" (PBX) genannt, zu gelangen. Mittels Script werden dabei systematisch Anfragen versendet. Diese haben zum Ziel, Internet-IP-Adressen zu scannen, die mit Telefonanlagen verbunden sind. Dabei werden spezifische Ports wie beispielsweise 22, 25, 80, 443, 8443, 8080 und 5060 einer IP-Adresse gescannt. Entdeckt das Script hinter einem dieser Ports einen registrierten Server, versucht der Angreifer sich als Benutzer auszugeben. Das tut er, indem er sich als User einer ausgewählten Nebenstelle (z. B. die Rufnummer mit der Endziffer 40) ausgibt und versucht, Verbindung mit der PBX aufzunehmen. Sobald er via einer dieser Nebenstellen eine Fehlermeldung wie "falsches Passwort" vom Server zurückerhält, beginnt die eigentliche Fraud-Attacke. Diese läuft in der Regel vollautomatisiert ab.

Zunächst werden Standardpasswörter wie "passwort", "1234" oder "admin" abgefragt. Kann damit keine Verbindung hergestellt werden, gehen die Angreifer zu einer sogenannten "Brute-Force-Attacke" über, wobei der Port mit systematischen Passwortanfragen bombardiert wird. Dieser Vorgang kann einige Zeit in Anspruch nehmen und ist bei komplizierten und sehr langen Passwörtern in der Regel nicht erfolgreich. Gelingt es den Betrügern, das Passwort zu identifizieren, startet der Betrug. Auf den gehackten Ports werden zusätzliche VoIP-Telefone angemeldet oder direkt Gespräche initiiert und zum Beispiel ausländische Mehrwertnummern angerufen oder günstige Voice-Minuten an betrügerische oder ahnungslose Carrier angeboten. Das Opfer – der Betreiber der gehackten Telefonanlage – wird bei der nächsten Telefonabrechnung massive Kosten für Anrufe feststellen, die er nie getätigt zu haben glaubt. Dabei hat der Betrüger die Mehrwertnummern entweder selbst registriert, oder er profitiert von Provisionszahlungen des Mehrwertnummern-­Anbieters. Die Anrufe gehen zumeist in Staaten mit schwachen Rechtssystemen, wobei das Beispiel Somalia häufig genannt wird. Eine pauschale Zuweisung ist dennoch nicht möglich.

Das fast perfekte Verbrechen

Die Angriffe auf die Ports werden dabei niemals von einer identifizierbaren IP-Adresse aus geführt. Die Angreifer bedienen sich in der Regel eines Servernetzwerks, das auf mehrere Staaten verteilt ist. Man stelle sich zum Beispiel einen deutschen Hacker vor, der einen Angriff über einen russischen, brasilianischen und französischen Server auf einen Schweizer Port führt. Durch Tor-Netzwerke kann dies relativ einfach ermöglicht werden. Die Ermittlungsbehörden müsste in einem solchen Fall Rechtshilfegesuche gleich an mehrere Staaten beantragen. "Mit gewissen Staaten bestehen auch keine ausreichenden Abkommen für solche Fälle, und die Hacker wissen die Schwachstellen auszunutzen", sagte Max Klaus, stellvertretende Leiter der Melde- und Analysestelle Informationssicherung (Melani), in einem Gespräch. "Häufig sind diese Verbrechen bis zur definitiven Ermittlung schon längst verjährt, oder die aufzubringenden Ermittlungsressourcen stehen in keinem Verhältnis zur Schadenssumme". Laut Maier lehnt beispielsweise die US-Strafverfolgungsbehörde FBI eine Bearbeitung von Deliktsummen von umgerechnet unter 5000 Franken von vornherein ab.

In der Schweiz sind die kantonalen Strafverfolgungsbehörden für Privatnutzer und KMUs zuständig. Das Verantwortungsgebiet von Melani beschränkt sich hingegen nur auf Schweizer Unternehmen, die kritische Infrastrukturen betreiben, und teilweise auf Belange des öffentlichen Interesses. Die Schadenssummen sind dabei für den Einzelnen nicht zu unterschätzen. Da die Kunden die Telefonrechnung häufig erst am Monatsende erhalten, droht ein böses Erwachen. Die Kosten können sich bei KMUs leicht auf 10 000 Franken und mehr summieren. Schadenssummen in diesem Umfang bestätigte Swisscom auf Anfrage als "durchaus realistisch".

Die jährliche globale Schadenssumme könnte nach Schätzungen Maiers in die Milliarden Franken gehen. Die Angriffe seien durchwegs äusserst professionell gesteuert und sind, seiner Meinung nach, ein klarer Fall von organisierter Kriminalität. Dabei sei die Gewinn­spanne sehr hoch und die Gefahr, erwischt zu werden, verschwindend gering. Laut Klaus werden die Hintermänner dieser Betrugsmasche so gut wie nie geschnappt. Keiner der Gesprächspartner konnte von einer erfolgreichen Ermittlung berichten. Für die Schweiz kommt noch erschwerend hinzu, dass viele kantonale Polizeibehörden über keine spezielle Cybercrime-Abteilung verfügen und somit das Know-how für diese Aufgabe nur eingeschränkt oder gar nicht vorhanden ist.

Schutzstrategien und -lösungen

Zur Abwehr von VoIP-Fraud stehen verschiedenen Mittel zur Auswahl, die je nach Anwender oder Unternehmen abgewogen werden müssen. Die einfachste Lösung ist, ausländische Mehrwertnummern über den Provider sperren zu lassen. Diese Möglichkeit ist gesetzlich vorgeschrieben und zumeist über einen Anruf beim VoIP-Anbieter zu realisieren. Ebenso können bestimmte Limiten für Auslandsgespräche definiert werden, um Schadenssummen zu begrenzen.

Auch werden verschiedene Sicherheitslösungen angeboten, beispielsweise "Fraud-X" von Winet. Die Basis der Lösung bilden über 300 Systeme, die Attacken in Echtzeit an einen zentralen Server melden. Telefonanlagen können sich von diesem Server nun laufend eine Liste abholen, die sämtliche als Hacker identifizierte IP-Adressen enthält. Fraud-X funktioniere dabei ähnlich wie ein Spamfilter, so Maier. Als Provider von Telefongesprächen wie auch Telefonanlagen wehrt Winet mit Fraud-X nach eigenen Angaben tausende Angriffe ab (siehe Grafik). 99 Prozent der Attacken würden erkannt und die IP-Adressen gesperrt, bevor es zu einem Schadensfall kommen könne. Wenn jedoch das Passwort auf anderen Wegen erbeutet wurde, beispielsweise über Phishing, oder einfache Standardkennungen verwendet wurden, dann bietet auch diese Software keinen ausreichenden Schutz. Deshalb hat Winet neben Fraud-X weitere Überwachungssysteme wie zum Beispiel "Live Monitoring" eingeführt. Dabei werden alle funktionsrelevanten Informationen eines Telefoniesystems permanent überwacht und an das Überwachungssystem gesendet. 

Die Schweizer Provider Swisscom und UPC Cablecom gehen einen ähnlichen Weg. Swiss­com setzt nach eigenen Angaben auf aktive Wartung der offiziellen Swisscom-­Router, aktives Monitoring und Kundensensibilisierung. Bei UPC Cablecom ist seit etwas mehr als einem Jahr eine Anti-Fraud-Software im Einsatz, die das VoIP-Netz ständig auf Unregelmässigkeiten überprüft. In einem Gespräch schilderte Walter Bichsel, Direktor Business Development und Product Management bei UPC Cablecom, die Funktionsweise: Die Software analysiert das Nutzerverhalten der Kunden und erstellt Profile. Sollte es auffallende Abweichungen geben, werden sofort Gegenmassnahmen eingeleitet. Schon auf relativ geringe Volumenanstiege könne reagiert werden, so Bichsel.

Bei einem identifizierten Angriff würde der Kunde umgehend kontaktiert und der Anschluss gegebenenfalls gesperrt, um hohe Kosten zu unterbinden. Die bis zur Reaktion der Software angefallenen Kosten sind jedoch vom Kunden zu tragen.  Schwieriger sei es hingegen bei Grosskunden und internationalen Institutionen. Als Beispiel nannte Bichsel die UN. Hier würden schon natürlicherweise viele Auslandsgespräche geführt, und plötzliche Anrufe in Länder wie Somalia seien nicht ungewöhnlich. Auch fielen kleinere Beträge bei umsatzstarken Grosskunden kaum auf.

KMUs trifft es zumeist sehr hart

Laut Bichsel tritt VoIP-Fraud bei UPC Cablecom vorwiegend nur in den von Nutzern selbst verwalteten Netzwerken auf, zum Beispiel auf deren VoIP-Infrastrukturen.  Bei den von UPC Cablecom verwalteten VoIP-Cloud-Lösungen seien erfolgreiche Angriffe nach Angaben des Herstellers eher selten.

Die Schadenssumme bei VoIP-Fraud mag im Einzelfall relativ gering sein, jedoch trifft es KMUs zumeist sehr hart. Die Geschädigten bleiben fast immer auf den Kosten sitzen und die Kulanz bei den Providern ist oft sehr gering. Daher muss der Endkunde sich selbst aktiv schützen. Wie beschrieben können viele unterschiedliche Sicherheitsstrategien angewandt werden.

Ohne viel Aufwand bieten aber schon sichere Passwörter für die VoIP-Infrastruktur einen guten Schutz. Als sicher gelten Kennungen von mindestens 8 Zeichen mit Zahlen, Buchstaben, Sonderzeichen, samt Gross- und Kleinschreibung. Auch sollte darauf geachtet werden, dass die Software des Routers stets aktuell ist.  Wenn möglich sollten Mehrwertnummern gesperrt oder Limiten definiert werden, damit Schäden erst gar nicht entstehen können. Auch Anti-Fraud-Lösungen oder spezielle Produkte von Providern sollten im Einzelfall erwogen werden.