Phone Fraud: Das schmutzige Geschäft mit illegalen Calls
Betrug mit illegalen Telefonaten ist einträglich und führt zu hohen Schäden. Kunden und Carrier müssen sich dagegen schützen. Foto: © Darren Greenwood/Design Pics/Corbis.
IP-Netze werden über Schwachstellen ununterbrochen attackiert. Hacker verschaffen sich so massenweise illegal Zugang zu Telefonanlagen, von denen aus sie Calls zu teuren Servicerufnummern starten. Die Schäden sind oft beträchtlich, die Betrüger kaum zu fassen. Nur mit einer sorgfältigen Rund-um-die-Uhr-Überwachung können Netzbetreiber solche Attacken zeitnah stoppen. Hackerangriffe unterbinden können nur die Kunden selbst – indem sie ihre Telefonanlagen entsprechend schützen. Ein Blick hinter die Kulissen des QSC-Fraud-Managements.
In der Tagespresse ist immer wieder von Vorfällen zu lesen, bei denen durch Hackerangriffe aus dem organisierten, kriminellen Umfeld Telefonanlagen und technische Endgeräte manipuliert und für fremde Zwecke missbraucht werden. Man spricht in diesem Zusammenhang auch von sogenannten „Fraud“-Fällen.
Immense Schäden durch Phone Fraud möglich
200.000 Euro Schaden an einem Wochenende: Das geschah einem deutschen Telekommunikationsdienstleister im Februar 2014. Kein Einzelfall. Schlecht geschützte IP-Netze und -Endgeräte sind von einem breit angelegten Telefonie-Missbrauch betroffen.
Ein anderer Fall: Ein schwerer Firmware-Fehler wurde im Februar 2014 in der „Fritzbox“ von AVM bekannt, wovon 50 Prozent aller Internet-Router in Deutschland betroffen waren. Bei aktiviertem Fernzugriff konnte ein Angreifer ganz ohne Zugangsdaten in die Box eindringen. Der Fehler wurde schnell und im großen Stil für Telefonie-Missbrauch ausgenutzt.
2015 fand ein solcher Router-Hack in Deutschland nicht statt – entsprechend weniger Fraud-Alarme wurden ausgelöst. Dennoch ist die Zahl der kompromittierten Anschlüsse weiter gestiegen. Bedingt durch den Trend zur IP-Telefonanlage und unter Vernachlässigung notwendiger Schutzmechanismen bieten sich den Angreifern größere Angriffsmöglichkeiten als in der Vergangenheit.
Mit solchen Attacken hat natürlich auch QSC als Netzbetreiber tagtäglich zu tun. Bereits 2006 hat das Unternehmen daher die Abteilung „Fraud Management“ aufgebaut. Wir kümmern uns aktiv um Betrugsfälle rund um das Internet und den Telefonie-Missbrauch. Ziel: Schaden von QSC selbst und unseren Kunden abzuwenden.
Hacker scannen nach Sicherheitslücken in IP-Netzen und -Geräten
Wer unsere Arbeit verstehen will, muss sich das Geschäftsmodell und die Vorgehensweise der Kriminellen einmal ansehen: Mit speziellen IP- beziehungsweise SIP-Scannern suchen sie nach Zugängen in VoIP-Applikationen. Diese Scanner spüren verwundbare IP-fähige Geräte wie Nebenstellenanlagen (PBX), Gateways oder Teilnehmer-Endgeräte (CPE) auf.
Eine typische Betrugsmasche ist das so genannte „International Revenue-Share Fraud“: Die Betrüger leiten Telefonverkehr der von ihnen gehackten Telefonanlage auf eigene oder gemietete kostenpflichtige internationale Service-Dienste-Rufnummern, um Einnahmen aus diesen Gesprächen zu generieren. Diese Service-Rufnummern kann man sich leicht im Internet über verschiedene Dienstleister einrichten.
Dubiose Geschäfte – über Briefkastenfirmen verschleiert
Der Schaden durch „International Revenue-Share Fraud“ steigt – und die Aufklärungsquote ist gering. Die Täter sind über eine Kaskade von Weiterleitungen und Briefkastenfirmen kaum zu ermitteln. Die Vorgehensweise ist mehr als raffiniert:
- Bei den Angriffen werden die Zielrufnummern regelmäßig gewechselt, um Rufnummernsperrungen und Schutzmechanismen für bestimmte Rufnummerngassen zu umgehen.
- Vor dem eigentlichen Telefonie-Missbrauch wird der Anschluss zunächst mit der späteren Zielrufnummer getestet. Das passiert meist an einem Werktag.
- Anschließend erfolgen die massiven Angriffe auf die IP-Netze an einem Wochenende, wenn bei vielen Telcos die Überwachung der Netze auf ein Minimum reduziert ist. QSC-interne Statistiken belegen dies: Die überwiegende Anzahl der Fraud-Alarme geht auch in unseren Systemen an Wochenenden und dann zumeist nachts ein.
Die Zielländer der Anrufe sind häufig ebenso weit entfernt wie die Briefkastenfirmen, über die die Einnahmen verbucht und verschleiert werden. Unser QSC-Fraud-Report für 2015 zeigt, dass sich darunter Länder wie Malediven, Kuba, Liberia und Guinea befinden. Aber auch Lettland und Litauen.
Die Strafverfolgung ist kaum möglich und die Kosten, die bei den Anrufen ins Ausland anfallen, sind immens. In den meisten Fällen bemerken die Opfer den Betrug erst mit der Telefonrechnung am Monatsende.
Hase oder Igel, wer ist schneller: der Hacker oder der Carrier?
Viele Carrier behelfen sich mit selbst erstellten Lösungen, die speziell auf das eigene Billing-System ausgerichtet sind. Dies hat den großen Nachteil, dass sie erst nachträglich den Schaden feststellen und darauf basierende Gegenmaßnahmen einleiten können.
Dürftig ist, dass Gegenmaßnahmen häufig nur aus einer aktualisierten Zielrufnummern-Sperrliste bestehen. Durch die zunehmende Professionalisierung der Angreifer basieren die nächsten Attacken dann schon auf einer neuen Variante, und die Gegenmaßnahmen laufen ins Leere.
Das QSC-Fraud-Management: Monitoring in Echtzeit, Bereitschaft 24/7
QSC hat daher ein umfassendes Fraud-Management entwickelt, das im Wesentlichen aus drei Komponenten besteht:
- Das Fraud-Detection-System: Das von uns selbst entwickelte Monitoring-System analysiert ungewöhnliches Telefonieverhalten (Anomalien) im Telekommunikationsverkehr. Hier werden Hunderttausende von Datensätzen nahezu in Echtzeit gescannt und anhand von vorher definierten Schwellenwerten automatisch bewertet. Alarm wird zum Beispiel dann ausgelöst, wenn in gewissen Abständen immer wieder gleiche Rufnummern in verdächtige Länder angewählt werden, oder aber wenn innerhalb eines Zeitraumes X eine Summe Y für Telefongespräche überschritten wird.
- Die Fraud-Bereitschaft: Vier TK-Fachleute von QSC wechseln sich bei der Rund-um-die Uhr-Analyse 24/7 unseres Telekommunikationsverkehrs ab. Analysiert werden dabei sämtliche Telefonate, die über das QSC-Netz laufen – seien es unsere eigenen Calls, die Anrufe von direkt angeschlossenen Endkunden sowie alle Telefonate, die über unser Resale- oder Wholesale-Geschäft vermittelt werden. Wird ein Betrugsfall sichtbar, können wir die betroffenen Rufnummern zeitnah sperren und die gehackten Kunden informieren.
- Der Service „QSC Resale Fraud control“: Diese zusätzliche Dienstleistung bieten wir unseren Wiederverkäufern an, die damit ihre eigenen Kunden schützen können. Sie können eigene Kriterien definieren, anhand derer der Alarm ausgelöst wird. Außerdem sichern wir ihnen zu, den betroffenen Anschluss in maximal zwei Stunden zu blockieren. Dabei setzt die QSC-Lösung nicht am jeweiligen Billing-System an, sondern am Softswitch, dem IP-Vermittlungssystem und an der EWSD-Vermittlungstechnik.
Notwendige Prävention: Hackerangriffe verhindern
Fraud Management kann allerdings Angriffe lediglich stoppen, nicht aber verhindern. Wer Hackern das Handwerk legen will, ist als Anwender selbst in der Pflicht:
- Optimale Passwörter wählen: Oft sind es ganz banale Passwörter oder die nicht geänderten Standardpasswörter der Telefonanlagen, die den Kriminellen Tür und Tor zum Telefonsystem öffnen.
- Systeme sichern: Manchmal sind es Schwachstellen in den Anlagen selbst, die es Hackern erlauben, sich mit ein paar trickreichen Handgriffen Zutritt zu verschaffen. Daher ist es wichtig, die gängige Security-Software einzusetzen und stets aktuell zu halten – zum Beispiel Virenscanner und Firewalls.
- Internationale Calls sperren: Ein kleiner Trick kann ebenfalls gegen Missbrauch schützen. So können Unternehmen in der arbeitsfreien Zeit – also an Wochenenden und Feiertagen – alle Telefonate zu Anschlüssen im Ausland grundsätzlich sperren.
Trend zur IP-Telefonanlage bietet größere Angriffsfläche
Es ist eine Tatsache: Bedingt durch den Trend hin zur IP-Telefonanlage bietet sich den Angreifern ein größeres Angriffsfeld. Hier reicht es nicht, nur noch den Sprachteil bei einem Missbrauch zu betrachten. Vielmehr muss auch auf die Datenanbindung des Kunden geachtet werden – zumal die hohen Bandbreiten der IP-Leitungen es möglich machen, dass viele Calls von einem Anschluss aus gleichzeitig aufgebaut werden können.
Für QSC sehr erfreulich ist, dass wir die Reaktionszeiten im Fraud-Management und die Schadenssummen im vergangenen Jahr weiter reduzieren konnten.
Kommentare
Sehr geehrter Herr Bösel,
vielen Dank für diesen sehr interessanten Beitrag.
Ich frage mich, warum Netzbetreiber in der Regel die Kunden nicht per Default-Einstellungen vor Anrufen in diese „unseriösen“ Länder schützen und solche Vorwahlen grundsätzlich sperren und die Kunden darüber in den AGB’s informieren. Wann ruft denn der Otto-Normal-Telefonierer mal nach Liberia oder Guinea an? Üblich dürften doch im Normalfall europäische Länder, Türkei oder USA sein.
Sollte doch mal ein anderer Anruf getätigt werden, könnte man spezielle Nummern über Whitelists freischalten, bei Wahl einer „nicht zulässigen“ Auslandsvorwahl eine zusätzliche PIN-Abfrage durch den Switch etablieren oder den Anruf über ein Onlineportal vorher freischalten. Die PIN Abfrage kann von kompliziert (TAN-Generator) bis einfach (Geburtsdatum, PLZ) gestaltet werden. In jedem Fall würde sie einen zusätzlichen Schutz bieten.
Kunden die das nicht wollen, lassen sich einmalig alle Auslandsvorwahlen freischalten. Ich persönlich würde eine Sperrung und ggf. PIN-Abfrage nutzen, wenn ich die Wahl hätte.
Viele Grüße
Ch. Sommer
Sehr geehrter Herr Sommer,
vielen Dank für Ihr großes Interesse an unserem Beitrag.
Hinsichtlich der von Ihnen aufgeworfenen Fragen möchte ich Ihnen gern antworten.
Die Kunden der QSC AG sind maßgeblich Geschäftskunden, denen wir als Telekommunikationsdienstleister eine uneingeschränkte Erreichbarkeit weltweiter Ziele zusichern. Zu diesen Kunden gehören zum Beispiel große Logistikunternehmen oder auch international agierende Firmen wie Reedereien und Hilfsorganisationen.
Eine Sperre von einzelnen Zielländern würde, abgesehen von der Komplexität des Handlings, diese Zusicherung aufweichen. Für Kunden gibt es die Möglichkeit Auslandsrufnummern oder Nationale Servicediensterufnummern zu sperren.
Zudem sind meist nicht die Zielländer selbst das Problem, sondern vielmehr die in diesen Ländern geschalteten internationalen Premium-Dienste-Rufnummern. Das bedeutet, dass eine Rufnummer, die gestern noch als herkömmliche Festnetzrufnummer bepreist wurde, innerhalb kürzester Zeit als Premium-Dienste-Rufnummer deklariert und nun hochpreisig abgerechnet wird. Dies ist dann auch der Anlass für Betrüger, den Telefonverkehr von kompromittierten Anschlüssen auf diese Ziele zu leiten.
Die Einführung von Whitelists für den einzelnen Kunden wäre für uns als Telekommunikationsunternehmen nicht handhabbar, da sich das Führen dieser Listen beliebig kompliziert gestaltet.
Die von Ihnen aufgeworfene Lösung hinsichtlich einer PIN-Abfrage halte ich für gut. Zu bedenken ist hier aber die Praktikabilität, der Komfort und die Gewohnheit.
Auch mit dem Hinweis auf mögliche Gefährdungen ist es schwierig eine PIN-Abfrage in dem TK-Umfeld zu etablieren.
Ich bin aber davon überzeugt, dass uns das Thema weiterhin beschäftigen wird.
Viele Grüße
Thomas Bösel