Telefonspam aus UK und ENUM

Einige Anrufe habe ich auf Telefonspam 032 und Fraud Call schon ausführlicher vorgestellt. Leider häufen sich die Anrufe und ich habe nicht jedes Mal die Muße die Gespräche so lange zu führen und aufzuzeichnen. Bei den meisten Gesprächen hört man ja schon im Hintergrund, dass es ein CallCenter ist.

0044 als Anrufer

Im Jahr 2020 scheint UK ein aktiv missbrauchter Markt zu sein. Das bedeutet nicht, dass die Agenten tatsächlich in UK arbeiten sondern nur, dass ein Telefonprovider in UK an "Kunden" seine Rufnummern verkauft und solchen Missbrauch duldet. Es kann natürlich auch sein, dass über CLIP und CLIP no Screening der Anrufer eine beliebige Nummer übermittelt und mein Provider diese nicht weiter prüft.

Das zeigt gut das Problem, dass es nicht nur bei E-Mail gefälschte Absender-Adressen gibt sondern auch bei der Telefonie die Provider es nicht ganz so eng mit der Überprüfung des Anschlussinhabers und der übermittelten Rufnummer haben. Im Grunde ist die Anzeige der rufenden Nummer ja ein sehr gutes Mittel, damit der angerufene Teilnehmer sofort sieht, wer grade anruft. er kann z.B. in einem anderen Gespräch dann z.B. makeln. Auch verpasste Anrufe erscheinen dann mit einer Rückrufnummer.

Das taugt natürlich nicht, wenn die Anrufer die Nummer fälschen oder die Rufnummerninhaber keine Strafe befürchten müssten. Leider gibt es, anders als bei IP-Adresse und der Zuordnung zu einem Autonomen Netzwerk (AS), bei Rufnummern meines Wissens keinen Webservice, der die Zuordnung einer Rufnummer zum Provider zulässt.

Selbst wenn ich also eine Rufnummer des Anrufe sehe und diese sogar korrekt wäre, ist der Aufwand einer Rückverfolgung und einer Meldung an den Provider nicht möglich. Per ENUM könnte so etwas recht einfach gelöst werden.

Ich nehme einfach mal die Rufnummer "00441726447410" aus meiner Blacklist und konvertiere sie in ein ENUM-Format. Dazu entfernt man alle nicht-numerischen Zeichen, dreht die Reihenfolge und addiert Punkte zwischen den Nummern und hängt zuletzt das "e164.arpa" dran:

C:\>nslookup 1.2.4.7.4.4.6.2.7.1.4.4.e164.arpa 

*** 1.2.4.7.4.4.6.2.7.1.4.4.e164.arpa wurde von dns.google nicht gefunden: Server failed.

Leider gibt es, wie erwartet, keine Antwort. In Wikipedia steht (Dez 2015) auch lapidar:

Die Zahl der eingetragenen deutschen Nummern stagniert seit Dezember 2006 bei rund 8.000 (Stand: 31. Dezember 2015)
Quelle: https://de.wikipedia.org/wiki/Telephone_Number_Mapping

Für Deutschland gibt es wenigestens einen ENUM-Service

C:\>nslookup -q=NS 9.4.e164.arpa

Nicht autorisierende Antwort:
9.4.e164.arpa   nameserver = enum1.denic.de
9.4.e164.arpa   nameserver = enum3.denic.de
9.4.e164.arpa   nameserver = enum2.denic.de

UK hat es wohl nicht mal notwendig, einen Root-Server aufzustellen

C:\>nslookup -q=NS 4.4.e164.arpa

*** 4.4.e164.arpa wurde von dns.google nicht gefunden: Server failed

Insofern ist das auch keine Option den Inhaber zu ermitteln. Ich habe mir nun erspart, unsere deutschen Ermittlungsbehörden mit einer Anzeige zu beschäftigen, die dann eh ins Leere läuft und wen die Anrufer mich belästigen, dann dürfen Sie mich gerne weiter belästigen.

Vielleicht stellt ja jemand Strafanzeige, weil er durch meine laute Reaktion "verletzt" worden wäre. Nein, ich habe keine Trillerpfeife aber kann sehr laut schimpfen und manchmal hat mein altes DECT-Telefon auch ein lautes Rauschen. Dann wäre der Anrufer aber nicht mehr anonym.

Anrufliste

Die Anrufe kommen aber anscheinend "in Wellen". Warum Sie im Sommer ruhiger waren aber vor Weihnachten wieder aktiver wurden, kann ich nicht erklären. Übrigens: Auch vor Anrufen auf Mobiltelefonen machen die "Dialer" wohl keinen Halt mehr und die zeitliche Nähe zu einem Festnetzanruf deutet darauf hin, dass die Anrufer in ihrem Datensatz auch die Zusammengehörigkeit kennen. Meine Durchwahl habe ich unkenntlich gemacht.

Anfangs noch Telekom
23.04.20 10:59 00441253766366 ISDN 93xxxx < 1 Min
23.04.20 16:48 00447873159477 ISDN 93xxxx < 1 Min
24.04.20 17:37 00441778394414 ISDN 93xxxx < 1 Min
24.04.20 18:32 00441274637649 ISDN 93xxxx < 1 Min
27.04.20 14:36 00441419426620 ISDN 93xxxx < 1 Min
27.04.20 15:51 00441214493561 ISDN 93xxxx < 1 Min
04.05.20 15:45 00441512681665 ISDN 93xxxx < 1 Min
Danach dann DG
16.11.20 15:36 00441505363213 Büro 0525793xxxx < 1 Min
16.11.20 09:57 00441505363213 Büro 0525793xxxx < 1 Min
17.11.20 10:01 00441505363213 Büro 0525793xxxx < 1 Min
08.12.20 11:16 00442031503797 Büro 0525793xxxx < 1 Min
08.12.20 13:19 00442031503797 Büro 0525793xxxx < 1 Min
08.12.20 16:11 00442031503797 Büro 0525793xxxx < 1 Min
11.12.20 10:45 00442031503797 Büro 0525793xxxx —
11.12.20 12:49 00442031503797 Büro 0525793xxxx —
11.12.20 12:49 00442031503797 Büro Mobiltelefon —
11.12.20 12:50 00442031503797 Büro Mobiltelefon —
14.12.20 10:04 00441726447410 Büro 0525793xxxx < 1 Min
14.12.20 10:25 00442031503797 Büro 0525793xxxx —
14.12.20 10:25 00442031503797 Büro Mobiltelefon —
14.12.20 12:43 00442031503797 Büro 0525793xxxx —
17.12.20 10:30 00441726447410 Büro 0525793xxxx 2 Min

Aktuell ist UK das "Opfer" aber ich bin sicher, das kann sich mal wieder ändern.

E164 Recherche

Etwas später bin ich dann doch noch auf eine interessante Webseite ( https://www.e164.com/ ) gestoßen, die der angezeigten Nummer "00442031503797" sogar einen Carrier zugeordnet hat:

Auch für die anderen Nummern ist eine Zuordnung möglich. Ich habe die Chance ergriffen und die Anrufer aus 2020 zu einem Provider zugeordnet und zwei davon angefragt.

Nummer Carrier Reaktion
00441726447410
00441505363213
IP Voice Networks Ltd (https://vivivoip.co.uk/) 20201217 Anfrage per Chat.

Die Nummer gehört der Firma aber ist keinem Kunden zugewiesen und es gab von der Firma auch keinen Anruf auf meine Rufnummern. Hier hat der Anrufer als auch die Rufnummer missbraucht und der Anbieter ist selbst auch "Opfer".

00442031503797

Nationwide Telephone Assistance Ltd  https://nta.co.uk/

20201217 per WebForm angefragt und innerhalb einer Stunde die nichtssagende Antwort bekommen:

With issues like this it needs to go via the police before we can disclose any information due to data protection laws

Da hat wohl jemand nicht verstanden, dass ich ihm einen Tipp zu etwaigen Missbrauch seiner Plattform gegeben habe. Ich denke nicht, dass die deutsche Polizei oder UK-Police etwas macht, solange nicht passiert ist und es nicht um Kindesmissbrauch oder Terrorismus geht. Auf meinen Hinweis, dass ich dem Anbieter den Hinweis geben wollte kam dann noch noch folgendes zurück:

We do have requests from the german police for information. I will contact the end user to warn them of this but in the mean time please block any call from this number.

Das habe ich natürlich sowieso schon gemacht.

00441512681665

Vodafone Ltd (C&W)

nicht angefragt, war ja nur ein Anruf

00441214493561
00441419426620
00441274637649
00441778394414
00441253766366

BT

nicht angefragt, zu lange her

00447873159477

O2

nicht angefragt, zu lange her

Es ist irgendwie verständlich, dass die nationale BT, vergleichbar mit der Deutschen Telekom, natürlich mehr Treffer hat. Es ist aber ebenso erschreckend, dass die ganzen Provider kein Interesse an einem Meldeportal haben, welches solche "Kunden" schnell offenlegen würde. Das "Geschäft" lohnt sich doch nur bei ganz vielen Agenten mit vielen Anrufen.

Auch seitens der Politik wäre es doch mal an der Zeit, hier für etwas mehr Ernsthaftigkeit zu sorgen. Jede Prepaid-Karte muss heute mit Identitätscheck versehen werden aber die angezeigte Rufnummer wird keiner Prüfung unterzogen. Ein Anbieter könnte sicher neben der CalledID auch die "RedirectID" oder den Anschluss mitliefern.

Ich sehe schon, dass wir im Bereich Mail und AntiSpam hier zumindest Optionen haben, die Absender-Adresse per DKIM und SPF, SenderID zu qualifizieren und viele unerwünschte Mails abzulehnen.

Die Frage ist nur, wann es mal eine "Reputationsdatenbank" für Telefonnummern und zukünftig auch "SIP-Anrufe" gibt, die dann Microsoft Teams oder ein Session Border Controller abfangen kann, wenn schon die Provider hier keine Hilfestellung sind.

Weitere Links