Bundesamt warnt: Auslands-Dialer immer gefährlicher
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer zunehmenden Gefahr durch Auslands-Dialer. Illegale Programme, die statt deutscher Mehrwert-Nummern ausländische Ziele anwählen, würden immer häufiger eingesetzt: „Der Trend ist nach einem kurzen Rückgang leider wieder steigend – mit wachsender Qualität der Auslandsdialer hinsichtlich der Installation und Aktivierung“, sagte BSI-Sprecher Michael Dickopf gegenüber Dialerschutz.de.
Der Missbrauch von Dialern ist längst zu einem europaweiten Problem geworden. Zum Einsatz kommen dabei vor allem Einwählprogramme, die von Surfern ungewollte und oft auch unbemerkt exotischen Inseln wie Nauru oder Diego Garcia anwählen – zu horrenden Kosten. Ein Rätsel bleibt dabei nach wie vor, wie die Täter im Hintergrund von derartigen Einwahlen profitieren. Zwar liegt der Verdacht nahe, dass die betroffenen Telefongesellschaften mit den Anbietern derartiger Dialer entsprechende Abkommen geschlossen haben und sich die Gebühren teilen – konkret bewiesen werden konnte dies jedoch noch nicht.
Vor allem die Schweiz, Italien und neuerdings auch Irland und Großbritannien leiden seit langem unter einer regelrechten Flut von Beschwerden über Auslands-Dialer. Doch auch vor Deutschland macht die Plage nicht Halt – im Gegenteil: Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) stapeln sich regelrecht die Nummern, die im Zusammenhang mit Dialer-Missbrauch auffällig wurden: „Ende September waren es insgesamt 3500 Nummern“, berichtet BSI-Sprecher Michael Dickopf gegenüber Dialerschutz.de. Um zumindest den finanziellen Schaden durch derartige Dialer einzudämmen, arbeitet das BSI eng mit der T-Com zusammen: „Nach Meldungen von Betroffenen über auffällig gewordene Rufnummern, die den bisher bekannten Nummernblöcken zuzuordnen sind, bzw. nach Zusendung von Dialern, die nicht registriert sind oder nicht den Registriervorschriften entsprechen, werden die neuen Rufnummern an die T-Com übermittelt“, so Dickopf. Dort werden die Nummern dann gesperrt oder beobachtet, bis ein Grund zur Sperrung vorliegt. Die T-Com hatte im März erklärt, in solchen Fällen neben der Sperrung auch keine Auszahlung an die betroffenen ausländischen Unternehmen vorzunehmen. Ob dies tatsächlich geschieht, ist unklar. Mehrere entsprechende Anfragen von Dialerschutz.de an die Pressestelle der T-Com blieben bis heute unbeantwortet.
Tatsächlich gleicht der Kampf gegen die illegalen Einwählprogramme dem klassischen Wettkampf von Hase und Igel: Je intensiver die Behörden gegen die illegalen Dialer vorgehen, umso perfider werden die Tricks der Anbieter. Was BSI-Sprecher Dickopf eine „wachsende Qualität hinsichtlich der Installation und Aktivierung“ bei Auslands-Dialern nennt, zeigt auch ein aktueller Fall, der Dialerschutz.de und Computerbetrug.de vorliegt - und vielen Usern womöglich hohe Rechnungen bescheren dürfte.
Die Täter setzen dabei gleich eine ganze Reihe von „aktuellen“ Tricks ein, um User um ihr Geld zu bringen. Zunächst kapern sie mittels Hijacker den Internet Explorer der Betroffenen und richten als neue Start- und Suchseite eine jener fragwürdigen Suchmaschinen ein, die unter dem Oberbegriff Cool Web Search bekannt geworden sind. In diesem Fall wird die Domain lookfor.cc benutzt, die unter bestimmten Umständen auf eine speziell präparierte Webseite umleitet. Dort wird nun versucht, über zwei Sicherheitslücken in Microsofts Internet Explorer eine Datei namens mypleasure.exe auf dem PC zu installieren und auszuführen. Besonders perfide: Der Dialer mypleasure.exe wird dabei auf dem infizierten Rechner über ein Script in notepad.exe umbenannt. Dann lädt er von der Webseite die zu verwendenden Rufnmmern herunter und wählt sich über diese ein. In Deutschland werden unter anderem die Nummern 006753237615, bzw. 006753237652 (Papua Neu Guinea) verwendet. Vorangestellt ist jeweils die Call-by-Call-Nummer 010066 der Mcn tele.com AG Bad Homburg, offenbar, um etwaige Sperren bei der T-Com zu unterlaufen. Gelingt die Einwahl nicht, wird nochmals eine Einwahl nach Österreich, den Cook Inseln oder nach Estland probiert. Dieses Vorgehen erlaubt es, kurzfristig gesperrte Rufnummern auszutauschen und die Rufnummern nach Ursprungsland des Opfers auszuwählen. Während der teuren Auslandseinwahl wird die originale notepad.exe auf dem PC als notepad.exe.bak gesichert und nach 5000 Sekunden zurückgeschrieben, so dass vom Dialer keine Spuren bleiben.
Das BSI und die Regulierungsbehörde wurden von uns über diesen neuen Trick informiert. Immerhin einen Trost gibt es: Virenscanner mit aktuellen Signaturen sollten bei den Manipulationsversuchen Alarm schlagen und die eingesetzten Scripte als Trojaner erkennen.
cu,
Sascha
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer zunehmenden Gefahr durch Auslands-Dialer. Illegale Programme, die statt deutscher Mehrwert-Nummern ausländische Ziele anwählen, würden immer häufiger eingesetzt: „Der Trend ist nach einem kurzen Rückgang leider wieder steigend – mit wachsender Qualität der Auslandsdialer hinsichtlich der Installation und Aktivierung“, sagte BSI-Sprecher Michael Dickopf gegenüber Dialerschutz.de.
Der Missbrauch von Dialern ist längst zu einem europaweiten Problem geworden. Zum Einsatz kommen dabei vor allem Einwählprogramme, die von Surfern ungewollte und oft auch unbemerkt exotischen Inseln wie Nauru oder Diego Garcia anwählen – zu horrenden Kosten. Ein Rätsel bleibt dabei nach wie vor, wie die Täter im Hintergrund von derartigen Einwahlen profitieren. Zwar liegt der Verdacht nahe, dass die betroffenen Telefongesellschaften mit den Anbietern derartiger Dialer entsprechende Abkommen geschlossen haben und sich die Gebühren teilen – konkret bewiesen werden konnte dies jedoch noch nicht.
Vor allem die Schweiz, Italien und neuerdings auch Irland und Großbritannien leiden seit langem unter einer regelrechten Flut von Beschwerden über Auslands-Dialer. Doch auch vor Deutschland macht die Plage nicht Halt – im Gegenteil: Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) stapeln sich regelrecht die Nummern, die im Zusammenhang mit Dialer-Missbrauch auffällig wurden: „Ende September waren es insgesamt 3500 Nummern“, berichtet BSI-Sprecher Michael Dickopf gegenüber Dialerschutz.de. Um zumindest den finanziellen Schaden durch derartige Dialer einzudämmen, arbeitet das BSI eng mit der T-Com zusammen: „Nach Meldungen von Betroffenen über auffällig gewordene Rufnummern, die den bisher bekannten Nummernblöcken zuzuordnen sind, bzw. nach Zusendung von Dialern, die nicht registriert sind oder nicht den Registriervorschriften entsprechen, werden die neuen Rufnummern an die T-Com übermittelt“, so Dickopf. Dort werden die Nummern dann gesperrt oder beobachtet, bis ein Grund zur Sperrung vorliegt. Die T-Com hatte im März erklärt, in solchen Fällen neben der Sperrung auch keine Auszahlung an die betroffenen ausländischen Unternehmen vorzunehmen. Ob dies tatsächlich geschieht, ist unklar. Mehrere entsprechende Anfragen von Dialerschutz.de an die Pressestelle der T-Com blieben bis heute unbeantwortet.
Tatsächlich gleicht der Kampf gegen die illegalen Einwählprogramme dem klassischen Wettkampf von Hase und Igel: Je intensiver die Behörden gegen die illegalen Dialer vorgehen, umso perfider werden die Tricks der Anbieter. Was BSI-Sprecher Dickopf eine „wachsende Qualität hinsichtlich der Installation und Aktivierung“ bei Auslands-Dialern nennt, zeigt auch ein aktueller Fall, der Dialerschutz.de und Computerbetrug.de vorliegt - und vielen Usern womöglich hohe Rechnungen bescheren dürfte.
Die Täter setzen dabei gleich eine ganze Reihe von „aktuellen“ Tricks ein, um User um ihr Geld zu bringen. Zunächst kapern sie mittels Hijacker den Internet Explorer der Betroffenen und richten als neue Start- und Suchseite eine jener fragwürdigen Suchmaschinen ein, die unter dem Oberbegriff Cool Web Search bekannt geworden sind. In diesem Fall wird die Domain lookfor.cc benutzt, die unter bestimmten Umständen auf eine speziell präparierte Webseite umleitet. Dort wird nun versucht, über zwei Sicherheitslücken in Microsofts Internet Explorer eine Datei namens mypleasure.exe auf dem PC zu installieren und auszuführen. Besonders perfide: Der Dialer mypleasure.exe wird dabei auf dem infizierten Rechner über ein Script in notepad.exe umbenannt. Dann lädt er von der Webseite die zu verwendenden Rufnmmern herunter und wählt sich über diese ein. In Deutschland werden unter anderem die Nummern 006753237615, bzw. 006753237652 (Papua Neu Guinea) verwendet. Vorangestellt ist jeweils die Call-by-Call-Nummer 010066 der Mcn tele.com AG Bad Homburg, offenbar, um etwaige Sperren bei der T-Com zu unterlaufen. Gelingt die Einwahl nicht, wird nochmals eine Einwahl nach Österreich, den Cook Inseln oder nach Estland probiert. Dieses Vorgehen erlaubt es, kurzfristig gesperrte Rufnummern auszutauschen und die Rufnummern nach Ursprungsland des Opfers auszuwählen. Während der teuren Auslandseinwahl wird die originale notepad.exe auf dem PC als notepad.exe.bak gesichert und nach 5000 Sekunden zurückgeschrieben, so dass vom Dialer keine Spuren bleiben.
Das BSI und die Regulierungsbehörde wurden von uns über diesen neuen Trick informiert. Immerhin einen Trost gibt es: Virenscanner mit aktuellen Signaturen sollten bei den Manipulationsversuchen Alarm schlagen und die eingesetzten Scripte als Trojaner erkennen.
cu,
Sascha