Wardialing - Telefonterror oder Phishing

Neben einer Mail ist das Telefon immer noch eine häufige Funktion bei Firmen Daten zu erhaschen. Einfach mal anrufen und sich durchfragen und verbinden lassen. Hier eine Analyse einer solchen Anrufwelle.

Dieses Seite beschreibt einen Vorfall im Mai 2019. Es gab auch wieder Anfang 2020 gehäuft anrufe von Mobilfunknummern, die gefälscht waren. Die Anrufer gaben sich immer an von einer bekannten Firma wie Capgemini, IBM, Microsoft, o.a. (gelogen) anzurufen und einen Termin mit einem bestimmten Mitarbeiter (Vermutlich per LinkedIn ermittelt9 zu haben. Teilweise wird angegeben, dass man von der Zentrale vermittelt worden sei (gelogen). Das Ziel dieser Anrufe ist aber immer noch nicht ganz klar.

Der "Angriff"

Im Mai 2019 scheint es jemand auf einen Kunden abgesehen zu haben, da einige Anrufe in Wellen aufgeschlagen sind. Der Anrufer hat sich als Mitarbeiter von Cap Gemini, IBM oder anderer Firmen ausgegeben und behauptet, dass es um einen Termin oder Meeting am nächsten Tag ginge. Anscheinend hatte der Anrufer aber keine Liste der Durchwahlen und Namen und hat "durchtelefoniert" um sein Glück zu versuchen. Allerdings haben sich die Mitarbeiter sehr schnell dank Yammer und Teams darüber informiert, dass gerade solche Anrufe unterwegs sind und letztlich wurden schon Wetten abgeschlossen, bei wem es als nächstes klingelt. Je höher die Rufnummer war, desto länger musste der Mitarbeiter auf seinen Anruf warten.

Wir haben dann die Protokolldateien unserer Vermittlungstechnik, hier ein Audiocodes SBC als Vermittler zwischen Amt, Skype for Business und Teams Direct Routing, ausgewertet. Die Anrufe liefen in drei Wellen ab.

Tag Zeitraum Anzahl Anruf CallerID

13. Mai 2019

15:11 - 17:10

21

+4915171560713 (Telekom)

21. Mai 2019

17:21 - 17:40

10

+4915171112936 (Telekom)

22. Mai 2019

09:54 - 10:48

49

+4915171112938 (Telekom)

Die Zugehörigkeit einer Rufnummer zum Anbieter können Sie selbst einfach unter der Kurzwahl ihres eigenen Providers abrufen

  • Telekom = 4387
  • Vodafone = 12313
  • E-Plus 10667
  • O2 SMS mit "NETZ Rufnummer" an 4636

In diesem Fall waren es dreimal Anschlüsse der Telekom.

Interessant ist natürlich ein genauerer Blick in die Verbindungen und die Zeiten. Hier nur ein Ausschnitt:

Das war der dritte Block und es ist gut zu sehen, dass hier der Anrufer anscheinend nacheinander alle Nebenstellen durchprobiert hat. Die meisten Anrufe haben deutlich weniger als eine Minute gedauert.

Diese Erkenntnisse haben wir natürlich über eine Beschwerde bei der Bundesnetzagentur als auch bei der Telekom als Inhaber der anrufenden Nummer gemeldet. Ich erwarte hier aber keine Rückmeldung. Das war in der Vergangenheit auch schon so. Solange die Anrufer nicht mit Terroranschlägen, Mord oder anderen Kapitalverbrechen drohen, wird sich auch eine Strafverfolgung nicht darum kümmern. Es ist ja nichts passiert und Kratzer an der Haustür sind ja auch noch kein Einbruch.

Rückmeldung der BundesNetzAgentur (BNetzA)

Die erste Antwort war erst mal das Formschreiben:

Die Bundesnetzagentur geht allen verwertbaren Hinweisen nach, indem die angezeigten Sachverhalte ermittelt und nachvollzogen werden. Diese Ermittlungsarbeit kann einige Zeit in Anspruch nehmen und ist gegebenenfalls mit Rückfragen bei Ihnen verbunden. Wird ein Gesetzesverstoß festgestellt, stehen der Bundesnetzagentur verschiedene Eingriffsmöglichkeiten zur Verfügung. Ermittlungen und der Erlass verbraucherschützender Maßnahmen haben grundsätzlich Vorrang vor der Erstellung individueller Rückmeldungen. Bitte haben Sie diesbezüglich Verständnis."

Bislang habe ich bei Meldungen an die BNetzA keine weitere Rückmeldung bekommen und ich denke es wird hier im Sande verlaufen.

Ursachen

Die Beweggründe können vielfältig sein und die Liste ist sicher nicht vollständig:

  • Unseriöse Head Hunter
    Oft wird vorgegeben, dass man eine bestimmte Person suche, die aber nicht erreichbar ist oder mit der man ein Meeting hätte. Namen von Mitarbeitern in Firmen sind heut per XING, Facebook u.a. sehr einfach zu ermitteln. So ein weitergeleiteter Anruf hat vielleicht einen Vertrauensvorschuss oder fällt im Einzelverbindungsnachweis nicht sofort auf. Dennoch ist ein direkter Anruf am Arbeitsplatz nur sehr eingeschränkt erlaubt.
  • "Verkäufer"
    Die einen Weg zum Einkauf suchen. Das passiert aber eher bei kleinen Firmen, wenn jemand wieder eine Geschäftsidee erläutern möchte. Sehr gerne zuerst als möglicher Kunde/Interessent getarnt. Das kennt man aber auch schon auf Messen, wenn Besucher plötzlich versuchen die Richtung zu drehen. Die angesprochene Person kann ja nicht einfach weglaufen.
  • Malware/Angreifer
    Es gibt durchaus Angreifer, die ihnen bei der Entwanzung eines angeblich mit Viren versuchten PCs helfen wollen. Oft behautet der Anrufer, er sei von Microsoft oder einer anderen namhaften Firma beauftragt.
  • "Ja-Sagen"
    Es soll Anrufer geben, die sie in ein Gespräch verwickeln und es aufzeichnen, um daraus dann einen Zusammenschnitt zu erstellen, der einer Bestellung ähnlich sehen soll. Fragen versuchen meist Sie zur Aussprache des Worts "Ja" zu bewegen. In die gleiche Richtung gehen Anrufe von Firmen, mit denen man schon ein Geschäftsverhältnis hätte, zu dem es noch Fragen gäbe. Siehe z.B. auch Fraud Call
  • Social Engineering
    Es gibt aber auch Anrufe, die einfach mehr über eine Firma erfahren wollen. Also Personen, Namen, Strukturen, Kenntnisse. Das sind dann vorbereitende Tätigkeiten für was auch immer. Aus solchen Anrufen wird man nicht richtig schlau.

Es gilt also nicht nur die Mitarbeiter gegenüber Viren, Phishing und Spam-Mails zu sensibilisieren. Auch das Telefon ist immer noch ein wichtiges Einfallstor.

Denken Sie daran, dass Rufnummern problemlos gefälscht werden können. Vertrauen Sie also nie der Anzeige im Display und ich frage daher immer, wo ich zurückrufen kann. Wenn der Anrufer dann nicht mal seine eigene Rufnummer nennen kann, dann ist der Sachverhalt schon ziemlich eindeutig. Auch dass eine Firma oder Call-Center (Hintergrundgeräusche!) mit einer Mobilfunknummer kommt, ist auch schon suspekt.

Auswertung und Erkennung

Die Intention der Anrufe haben wir noch nicht ermittelt aber wird bleiben weiter wachsam. Natürlich haben wir in dem Zuge die Provider (hier vermutlich die Telekom) und die Bundesnetzagentur informiert. Auch wenn ich mir kaum vorstellen kann, dass dies tatsächlich etwas ändert. Zumal wir ja nicht einmal sicher sein können dass die übermittelte Rufnummer stimmt. Die kann dank CLIP und CLIP no Screening - Calling Line Identification Presentation einfach gefälscht werden.

Allerdings bringt mich so ein Vorfall dazu, über Wege der Erkennung und Abwehr nachzudenken. Genau wie dies bei E-Mail mit Spam der Fall ist, lassen sich auch Telefonanrufe über Protokolle erfassen und auswerten. Die in der Tabelle vorgefundenen Muster lassen sich sehr einfach erkennen, da sie sehr viel Ähnlichkeit mit TCP-Portscan haben. Auch sonst gibt es mehrere Ansätze hier Muster zu erkennen, z.B.

  • Aufsteigende Anrufe
    Wenn die Angreifer sehr ungeschickt sind, dann versuchen sie tatsächlich nacheinander die Nebenstellen zu erreichen
  • Viele Anrufe von der gleichen Quelle
    Wenn der Anrufer seine CallerID nicht fälscht und wie hier immer mit der gleichen Nummer ankommt, dann könnte man schon einfach anhand der Anruf
  • Dauer
    Eine starke Zunahme der "kurzen Anrufe" kann auch als mögliche Erkennungstechnik genutzt werden. Dazu müsste man natürlich über mehrere Wochen hinweg mal erfassen, wie die Verteilung der Anruflängen zu bestimmten Wochentagen und Tageszeiten ist. Bei wenigen Anrufen fällt so ein Angreifer leichter auf als in einer großen Firmen.

Alle drei Wege kann ein Angreifer natürlich einfach umgehen, indem er die Rufnummer verschleiert, die Ziele würfelt und vielleicht über einen längeren Zeitraum verteilt. Dann sollten aber die angerufenen Mitarbeiter sehr einfach solche Anrufe melden können.

Leider gibt es kein Schutzverfahren der anrufenden Nummer. Durch CLIP no Screening kann die angezeigte Rufnummer sehr leicht verändert werden. Eine Verifizierung erfolgt nicht.

Meldung durch Anwender

In verschiedenen Firmen gibt es heute schon den Begriff des "Drohnanrufrekorder". Wenn z.B. Erpresser bei einer Firma anrufen, dann kann der Mitarbeiter schon während des Gesprächs oder kurz danach über eine Kurzwahl diesen Anruf fangen oder melden. Das geht natürlich nur , wenn die TK-Anlage solch eine Funktion unterstützt und entsprechende Vereinbarungen die Aufzeichnung auf Verdacht erlauben.

Wenn Sie als Betreiber aber eine besondere Nummer einrichten, die für diese Funktion genutzt wird, dann können Sie gleich drei Vorteile durch einen Anruf auf diese Nummer erreichen

  • Schnelles Auffinden in Logs
    Wenn diese Spezialnummer nicht genutzt wird, dann finden Sie den Anruf sehr schnell und auch den davor stattgefundenen eingehenden Anruf eines Erpressers o.ä.
  • Honeyotp-Funktion
    Ein Angreifer, der beim Durchprobieren auch diese Spezialnummer erreicht, fällt sofort auf. Über eine Regel könnte der Anrufer auf eine Voicemail oder die entsprechend trainierte Zentrale umgeleitet werden.
  • Automatische Verarbeitung
    Je nach eingesetzter Software können Sie diese Spezialnummer mit bestimmten Aktionen verbinden. Wenn der Anruf von intern kommt, dann könnte der Wachschutz informiert werden oder auch einfach die eingehende Rufnummer auf einer Blockliste landen. Bei einer Verbindung von extern haben Sie den Angreifer quasi schon direkt gefangen. Das Telefonat kann direkt aufgezeichnet oder an einen geschulten Mitarbeiter weiter geleitet werden.

Allowlisting und "Checking"

Das Potential von Dienstleistungsfirmen wie Net at Work liegt in den Menschen, die für Net at Work arbeiten. Es ist leider schon soweit, dass Mitbewerber, Kunden oder Headhunter gezielt Personen Zwecks Arbeitsplatzwechsel ansprechen. Natürlich ist so ein direkter Kontakt am Arbeitsplatz nicht statthaft und im Grund verwerflich. Ich bin ziemlich sicher, dass solche Anrufe nicht von "bekannten" Rufnummern kommen. Aber umgekehrt kann es schon interessant sein, anhand der Rufnummern eine "Konversationsliste" aufzubauen und eingehende Nummern z.B. gegen die Kundendatenbank zu checken. Das machen CRM-Lösungen und Call Center Produkte schon von Hause aus, um dem gerufenen Teilnehmer gleich die passenden Informationen zu liefern. Ich stelle mir grade vor, aus allen Datenbeständen einer Firma (Kundendaten, Kontakte im Postfächern, etc.) entsprechende Rufnummernverzeichnisse zu erstellen und diese dem SBC oder Gateway zur Verfügung zu stellen..

Meine Kollegen mit besseren Audiocodes-Kenntnissen haben mir bestätigt, dass es relativ einfach wäre, so bei einem eingehenden Anruf die "CallerID" um einen sprechenden Namen zu erweitern oder natürlich Anrufe aufgrund einer Blockliste abzulehnen oder zu einer Vermittlungsstelle umzuleiten. So hatten diese Anrufe auch noch etwas Gutes an sich. Man denkt über bestimmte Vorgänge noch einmal genauer nach.

Fake-Profil bei XING

Lagos hört sich eher nach einem exotischen Ort aus einem James Bond Film an. Net at Work hat dort aktuell keine Niederlassung ich bin bin sicher, das "GmbH" eine ziemlich deutsches Firmensuffix ist. Inwieweit dieses Fake-Profil mit den Telefonanrufen zusammen hängt, kann ich nicht sagen. Es ist nur zeitlich sehr nah dazu erstellt worden

Also bitte Vorsicht, wenn sich jemand als "Net at Work GmbH" ausgibt.

Weitere Links