Jetzt VoIP-Passwort ändern: Kriminelle nutzen erbeutete Fritzbox-Daten aus

Die Fritzbox-Angreifer haben anscheinend lange Zeit unbemerkt Zugangsdaten gesammelt, ohne sie zu benutzen. Für die Nutzer hat das jetzt ein übles Nachspiel, denn die meisten Passwörter funktionieren weiterhin. Der Schaden geht in die Hunderttausende.

In Pocket speichern vorlesen Druckansicht 294 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Ronald Eikenberg

Als zu Jahresbeginn die Fritzbox-Angriffe durch horrende Telefonrechnungen auffielen, woraufhin AVM etliche Firmware-Updates herausgab, hatten die Täter die erste Phase – das Einsammeln von Zugangsdaten – möglicherweise längst abgeschlossen. Der Internettelefonie-Anbieter Sipgate berichtete heise Security von einer ungewöhnlichen Häufung von Betrugsfällen, in denen die VoIP-Accounts von Fritzbox-Nutzern für kostspielige Auslandstelefonate missbraucht wurden.

Die Kunden hatten zwar das Sicherheitsupdate installiert, nicht aber das VoIP-Passwort geändert. Das ist ein Indiz dafür, dass die Daten bereits vor einiger Zeit erbeutet wurden, als die Boxen noch anfällig waren – möglicherweise sogar vor der Veröffentlichung der Fritzbox-Updates. Wann genau, lässt sich nicht feststellen, da das Abgreifen der Router-Konfiguration keine Spuren hinterlässt. Sipgate befürchtet, dass die Kriminellen auf "einem Berg von Daten" sitzen, die sie nach und nach zu Geld machen.

Diese Theorie bestätigt ein heise Security im Detail bekannter Fall eines regionalen Telefonanbieters, bei dem seit Ende Februar, also deutlich nach Veröffentlichung der Updates, ein Schaden in Höhe von über 200.000 Euro entstanden ist. Der Anbieter rechnet mit etwa 400 Geschädigten. Da sich der Missbrauchszeitraum bis in den März hineinzieht, dürften viele Kunden noch gar nicht ahnen, dass sie betroffen sind. Die späteren Anrufe tauchen nämlich erst Anfang April auf der Telefonrechnung auf.

Nach bisherigen Aussagen von AVM wurden nur Fritzbox-Anwender angegriffen, die den Fernzugriff ihrer Fritzbox aktiviert hatten; konkrete Hinweise, dass auch andere Angriffsvektoren genutzt wurden, gibt es bislang keine. Da die Betrüger sehr leicht sehr viele IP-Adressen nach solchen Routern scannen konnten, ist davon auszugehen, dass sie die Zugangsdaten von allen Fritzboxen auslesen konnten, bei denen in der Vergangenheit – insbesondere vor Installation des Updates – der Fernzugriff aktiviert war. Wann die Täter mit dem Sammeln der Daten begonnen haben, ist unbekannt.

Wer den Fernzugriff genutzt hat, sollte also umgehend sämtliche in der Fritzbox hinterlegten Passwörter ändern, insbesondere jenes für die Internettelefonie (VoIP). Auch die Passwörter der Fritzbox-Accounts sind zu ändern und Accounts unbekannter Herkunft zu löschen. Tauchen in den Telefonie-Einstellungen unbekannte Telefone auf, muss man diese entfernen.

Nach wie vor gilt, dass kein Weg daran vorbei führt, auf den betroffenen Fritzbox-Modellen das Sicherheitsupdate zu installieren. Wie heise Security belegt hat, ist die Lücke nämlich nicht nur über den Fernzugriff, sondern auch über präparierte Webseiten und HTML-Mails ausnutzbar. Der nötige Angriffscode kursiert seit Anfang März im Netz. (rei)