image

Modems XS4ALL-klanten misbruikt voor telefoonfraude

vrijdag 7 februari 2014, 08:58 door Redactie, 16 reacties

Criminelen hebben de modems van verschillende XS4ALL-klanten misbruikt voor het plegen van telefoonfraude, waardoor zeer hoge telefoonkosten werden gemaakt. Volgens de provider is de precieze oorzaak nog niet bekend, maar is inmiddels wel duidelijk dat het probleem zich voordoet bij klanten die de Remote Access-functie van hun FRITZ!Box modem zelf hebben geactiveerd. Daardoor is het modem vanaf het internet bereikbaar is.

XS4ALL zegt dat het klanten die deze functie geactiveerd hebben via e-mail zal waarschuwen. Ook krijgen klanten instructies hoe ze de Remote Access kunnen uitschakelen. Slachtoffers van de telefoonfraude hoeven de telefoonkosten die door het misbruik zijn ontstaan niet te betalen. Om hoeveel slachtoffers het precies gaat en wat de omvang van de schade is laat XS4ALL op het eigen blog niet weten.

Volgens de provider zijn verschillende klanten getroffen, terwijl AVM, de leverancier van de FRITZ!Box, het op 'enkele' houdt. Getroffen klanten worden allemaal door XS4ALL gebeld. Om de schade te beperken zijn telefoongesprekken naar een aantal landen tijdelijk geblokkeerd. Voor klanten die willen controleren of hun modem via het internet toegankelijk is heeft de provider een FRITZ!Box Remote Access Check online gezet.

Reacties (16)
07-02-2014, 10:03 door Anoniem
Foutje... bedankt. Wellicht leuk uit te vogelen in hoeverre die remote access check een vrijbrief voor toegang door iedereen is, danwel of er ook exploits of verdere misconfiguraties in het spel zijn.

Op het eerste gezicht coulante reactie van xs4all, maar het gaat hier niet om een klant; dat maakt overtuigen dat het niet de klant zijn schuld is een stuk makkelijker. Aan de andere kant, ze hebben een naam hoog te houden. Goed te zien dat ze dat nog serieus nemen.
07-02-2014, 10:50 door [Account Verwijderd] - Bijgewerkt: 07-02-2014, 10:57
[Verwijderd]
07-02-2014, 10:55 door NyctO
@ Moderator; Wellicht is het handig om te melden dat het niet alleen om de xs4all gebruikers / klanten gaat maar vermoedelijk meerdere ISP klanten die hier (mogelijk)last van hebben of betrokken zijn.
07-02-2014, 10:58 door [Account Verwijderd] - Bijgewerkt: 07-02-2014, 11:26
[Verwijderd]
07-02-2014, 11:07 door Anoniem
Het is voor de meeste gebruikers dan ook niet handig om :443 open te zetten...

Ik vind wel dat XS4all adequaat reageert, ik hoop dat anderen (ISP's / banken / etc.) daar een voorbeeld aan nemen.
07-02-2014, 11:20 door Anoniem
"maar is inmiddels wel duidelijk dat het probleem zich voordoet bij klanten die de Remote Access-functie van hun FRITZ!Box modem zelf hebben geactiveerd. Daardoor is het modem vanaf het internet bereikbaar is. "

hUh??¿¿? wie zet dit er in dan? en wie verwacht dat dit geen probleem is?

XS4ALL? ik zat net naar glas van jullie te kijken maar ik pas voorlopig even dus!
07-02-2014, 11:24 door Anoniem
Door Peter V.:
Door NyctO: @ Moderator; Wellicht is het handig om te melden dat het niet alleen om de xs4all gebruikers / klanten gaat maar vermoedelijk meerdere ISP klanten die hier (mogelijk)last van hebben of betrokken zijn.
Dat klopt, en is al bij de eerste threat toegevoegd.

Threat (dreiging) of thread (draadje)? Een heel verschil ;-).
07-02-2014, 12:41 door Spiff has left the building
Door NyctO, 10:55 uur:
@ Moderator; Wellicht is het handig om te melden dat het niet alleen om de xs4all gebruikers / klanten gaat maar vermoedelijk meerdere ISP klanten die hier (mogelijk)last van hebben of betrokken zijn.
Misschien kun je een verzoek om aanpassing van het artikel direct aan de redactie richten,
via het webformulier of per e-mail, zie:
https://www.security.nl/about
07-02-2014, 12:47 door [Account Verwijderd] - Bijgewerkt: 07-02-2014, 12:47
[Verwijderd]
07-02-2014, 14:23 door Anoniem
Door Anoniem: "maar is inmiddels wel duidelijk dat het probleem zich voordoet bij klanten die de Remote Access-functie van hun FRITZ!Box modem zelf hebben geactiveerd. Daardoor is het modem vanaf het internet bereikbaar is. "

hUh??¿¿? wie zet dit er in dan? en wie verwacht dat dit geen probleem is?

XS4ALL? ik zat net naar glas van jullie te kijken maar ik pas voorlopig even dus!

Bij de Fritzbox zit een optie om het modem van het internet via HTTPS te bereiken, het is echt niet alsof je 'm dan weid open zet ofzo. Mogelijk is er een exploit ontdekt om hiervan gebruik te maken. Je kan bij XS4ALL trouwens ook een eigen modem/router gebruiken ipv de Fritzbox.
07-02-2014, 16:40 door Anoniem
Door Anoniem:hUh??¿¿? wie zet dit er in dan? en wie verwacht dat dit geen probleem is?

XS4ALL? ik zat net naar glas van jullie te kijken maar ik pas voorlopig even dus!
Dus, kort samangevat:
* De klant moet VoIP afnemen
* De klant moet remote access functie in de modem aanzetten. Deze functie word door AVM en XS4ALL standaard *UIT* gelaten.
* De aanvaller heeft de gebruikersnaam, wachtwoord en IP adres van de modem nodig. Volgens AVM zijn deze mogelijk verkregen uit een botnet. Wat erop duid dat de getroffen klanten al andere problemen hadden.
* XS4ALL stelt de getroffen klanten schadeloos.
* XS4ALL stelt klanten op de hoogte via hun eigen site en bouwt een check pagina: https://www.xs4all.nl/klant/veiligheid/telefoniemisbruik/
* XS4ALL belt getroffen klanten om ze op de hoogte te stellen.
* XS4ALL neemt technische maatregelen door telefoongesprekken naar een aantal landen tijdelijk te blokkeren.
* Het probleem zit hem in de AMV/FritzBox modems aangezien klanten van andere (voornamelijk Duitse) ISPs ook getroffen zijn.

Toch behoorlijk netjes gereageerd lijkt me. Natuurlijk hadden ze de remote access functie er ook helemaal uit kunnen slopen, maar dan ontneem je de klanten vrijheid. Nogmaals, de remote functie staat standaard uit en moet door de klant aangezet worden.
07-02-2014, 16:47 door [Account Verwijderd] - Bijgewerkt: 07-02-2014, 16:47
[Verwijderd]
07-02-2014, 17:45 door Anoniem
Door Anoniem: "maar is inmiddels wel duidelijk dat het probleem zich voordoet bij klanten die de Remote Access-functie van hun FRITZ!Box modem zelf hebben geactiveerd. .. "

hUh??¿¿? wie zet dit er in dan? en wie verwacht dat dit geen probleem is?

XS4ALL? ik zat net naar glas van jullie te kijken maar ik pas voorlopig even dus!

Niet door XS4All dus, maar klanten die zelf de functionalitieit hebben aangezet. XS4All is typisch een partij die dit soort functionaliteit waarschijnlijk nooit bewust zal aanzetten, geen zichzelf respecterend ISP overigens. Glas van XS4All zou geen slechte keuze zijn.
07-02-2014, 18:55 door Morbius
Door Anoniem:
Door Anoniem:hUh??¿¿? wie zet dit er in dan? en wie verwacht dat dit geen probleem is?

XS4ALL? ik zat net naar glas van jullie te kijken maar ik pas voorlopig even dus!
Dus, kort samangevat:
* De klant moet VoIP afnemen
* De klant moet remote access functie in de modem aanzetten. Deze functie word door AVM en XS4ALL standaard *UIT* gelaten.
* De aanvaller heeft de gebruikersnaam, wachtwoord en IP adres van de modem nodig. Volgens AVM zijn deze mogelijk verkregen uit een botnet. Wat erop duid dat de getroffen klanten al andere problemen hadden.
* XS4ALL stelt de getroffen klanten schadeloos.
* XS4ALL stelt klanten op de hoogte via hun eigen site en bouwt een check pagina: https://www.xs4all.nl/klant/veiligheid/telefoniemisbruik/
* XS4ALL belt getroffen klanten om ze op de hoogte te stellen.
* XS4ALL neemt technische maatregelen door telefoongesprekken naar een aantal landen tijdelijk te blokkeren.
* Het probleem zit hem in de AMV/FritzBox modems aangezien klanten van andere (voornamelijk Duitse) ISPs ook getroffen zijn.

Toch behoorlijk netjes gereageerd lijkt me. Natuurlijk hadden ze de remote access functie er ook helemaal uit kunnen slopen, maar dan ontneem je de klanten vrijheid. Nogmaals, de remote functie staat standaard uit en moet door de klant aangezet worden.

+1

HEEL netjes gereageerd zelfs. (en jij ook) xs4all is nu juist een provider die zoveel mogelijk toestaat.
08-02-2014, 10:56 door X-max
Blijkbaar zijn ook klanten van KPN ook de dupe geworden van dit fenomeen.

http://www.pcwebplus.nl/phpbb/viewtopic.php?p=91879#p91879
17-04-2014, 11:40 door Anoniem
wij hebben op dit moment een geschil hierover met Ziggo. Op 4 januari zijn er 0906-nrs gebeld via ons modem, ik was gelukkig alleen thuis en niet seniel dus weet zeker dat er niet door iemand uit ons gezin is gebeld. Ziggo erkent niets, reageert enkel op al mijn gespreksverzoeken met 'er is gebeld, uw nummer, uw rekening'. Ik heb echt alles uit de kast getrokken maar krijg qua fraude door deze criminelen en het dus fraudegevoelige door Ziggo verstrekte modem geen enkele reactie. Ongelofelijk hoe star die houding is.
Heb dus nu net al mijn zaken overgeheveld naar XS4All. Zodat ik tenminste weet dat ik bij een aanbieder zit die zijn beveiliging en de veranderende criminele mogelijkheden serieus neemt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.