0190 - Gastlogon

[Anonymous]

Hallo,

jetzt hat's uns anscheinend auch erwischt. Folgende Sachlage: Zuerst kam ein Brief von der Telekom, daß sie wegen einem 'ungewöhnlich hohen Tarifeinheitenaufkommen bei 0190' ebendiese gesperrt haben. Habe dann gleich bei der Telekom angerufen und erfahren, daß 3 Stunden lang von unserem Anschluß aus 3 Verbindungen zu 0190-84258xxx geführt wurden (jeweils Trennung nach 1 Stunde und dann gleich Einwahl auf die nächste 0190-Nummer) Kostenpunkt ca.300 Euro. Zu dem Zeitpunkt war keiner bei uns zu Hause. Dieser PC (W2K-Server) läuft immer und ist permanent mit TDSL-Flat mit dem Internet verbunden. Zusätzlich ist (leider) noch eine ISDN-Karte im PC, als Backup-Leitung.

Die eigentliche Vorgehensweise (sichern, Rechnung ohne 0190-Verbindungen zahlen, Anzeige....) wäre eigentlich klar, nur es ist auf dem PC kein Dialer zu finden, dafür aber ein Gast-Logon 6 Min vor der 0190-Einwahl. So wie's aussieht wurde die Anmeldung über eine Terminalsession ausgeführt, und da kann dann natürlich so einiges passieren. Obwohl der Benutzer Gast eigentlich deaktiviert war! Die letzte Änderung des Gast-Benutzers war ca. 3 Stunden nach dem mysteriösen Anmelden. Jetzt ist der Benutzer wieder deaktiviert, das war wohl 'seine' letzte Änderung.

Bringt es überhaupt etwas die Rechnung anzufechten, die Verbindung ist ja von dem Gast anscheinend wissendlich gestartet worden?
Kennt jemand einen ähnlichen Fall?
Ist die Rufnummer eine bekannte Dialer-Nummer?
Bin über jeden Tipp dankbar!

Sorry für den Roman, kürzer ging's irgendwie nicht...

Gruß,
tjana

 

[Comedian1]

gelöscht

 

[Anonymous]

Hallo Comedian,

danke für Antwort, das ging ja rasant....

Also im Sicherheitslog sind nur Einträge von letztem Jahr drinnen, warum auch immer !? Da ist also nichts zu finden.

Wir haben mal Spybot drüberlaufen lassen und es werden eigentlich nur Tracking Cookies gefunden. Wenn es ein Remote Access Trojaner (Back Orifice) war, sollte dieser von Spybot gefunden werden, oder lieg ich da falsch?

Mit dem Link zu der MS-Seite muß ich mich dann mal in Ruhe beschäftigen, ist ja doch einiges zum lesen.

Ich glaube die Spuren sind leider ganz gut verwischt worden...

Gruß,
tjana

 

[Anonymous]

Anzeige

Sie sollten sicherheitshalber Anzeige gegen Unbekannt wegen Computersabotage stellen und ggfs. den Rechner von der Staatsanwaltschaft untersuchen lassen.
Vielleicht lässt sich ja mit "Spezialmethoden" doch noch irgend etwas nachweisen.

 

[Comedian1]

gelöscht

 

[Anonymous]

Ist die IP Adresse des Gastes mitgelockt worden? Das sollte erst einmal der wichtigste Anhaltspunkt sein.

Das ganze sieht nach einem gezielten Angriff aus. Ich vermute, das der Angreifer selber der Nutznießer der 0190 Nummer ist, und auf diese Art versucht, seine Verdienstanteil kräftig zu erhöhen.

Ich würde als erstes Anzeige gegen unbekannt stellen und die IP Addy des Gastes als Beweismittel anführen. Es sollte der Staatsanwaltschaft problemlos möglich sein, den Nutzer dieser IP zum betreffenden Zeitpunkt ausfindig zu machen.

Als nächstes solltest du rausfinden, wem die Nummer letzlich zugeteilt wurde.

Interessant wäre es auch zu wissen, wie viel Traffic über diese 0190 Verbindung geflossen ist. Sind es nur ein paar Byte, ist es offensichtlich, das der Angreifer die Verbindung nur als "Gebührenzähler" hat mitlaufen lassen. Hier könntest du dann mit deiner Argumentation ansetzen, indem du auf die vom "Juristen" entwickelte Idee zur Umkehrung der Beweislast zurückgreifst.

 

[Comedian1]

gelöscht

 

[Anonymous]

Hallo @,

ich trau mich ja kaum zu antworten, Firewall ---- hm ---- leider Fehlanzeige. Bis jetzt haben wir auch sonst nirgends 'seine' IP-Adresse gefunden. Ein Image von der Platte ist übrigens schon vorhanden.

BackOrifice und NetBus können wir inzwischen auch ausschließen, alles laut Anleitungen aus dem Internet abgesucht, nichts in dieser Richtung zu finden.

Wer hinter den 0190-Nummern steckt werden wir natürlich versuchen herauszufinden. Wenn wir den Betreiber haben, muß dann nicht dieser den Nachweis erbringen, daß die Verbindung zustande kam? Ist es überhaupt möglich so einen Nachweis zu erbringen, oder sind wir so dann vielleicht schon auf der sicheren Seite?

Vielen Dank für die Tipps, Gruß,
tjana

 

[Anonymous]

@tjana
beschreibe mal Dein Problem etwas näher - 0190er Nummer, Art der Einwahl, Summe anderer Anbieter auf Deiner Rechnung oder wie auch immer - dieser Thread hier ist ein bisschen schwämmig, da braucht´s mehr an Informationen. Allein, die Firewall umzukrempeln, hilft hier wenig.

 

[Anonymous]

Hallo anna,

tja, diese Infos hab ich leider selbst nicht.
Die Nummer stand schon in meinem ersten Beitrag (0190-84258xxx). Es gab 3 Verbindungen je 60 Min mit jeweils anderer Endnummer.

Art der Einwahl, ehrlich gesagt - keine Ahnung. Es hat sich halt ein 'netter Mensch' als Gast auf unseren PC verbunden, eine Verbindung über die ISDN-Leitung aufgebaut und hat sich 3 Stunden lang vergnügt. Was er da genau getrieben hat, weiß ich nicht.

Summe auf der Rechnung, hab ich noch nicht. Ich hab nur die telefonische Auskunft der Telekom, daß 3 Stunden lang auf o.g. Nummern eine Verbindung bestand. Kosten dieser Verbindung ca. 300 Euro. Bei Nachforschungen am PC sind wir dann auf eine Anmeldung des Gast-Benutzers gestoßen, die 6 Min vor der ersten Einwahl liegt. Wir selbst waren zu diesem Zeitpunkt in der Arbeit und es saß keiner direkt vor dem PC.

Gruß,
tjana