Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 121 reacties

Klanten van Xs4all zijn het slachtoffer geworden van een probleem met de FritzBox-routers die de provider gebruikt. Daardoor kunnen kwaadwillenden die het wachtwoord van de gebruikers kennen, dure telefoonnummers bellen. De klanten kregen torenhoge rekeningen.

Xs4all logoEen onbekend aantal klanten van Xs4all is slachtoffer geworden van het probleem, bevestigt Xs4all-woordvoerder Niels Huijbregts tegenover Tweakers na berichtgeving van RTL Nieuws. Om hoeveel klanten het precies gaat, wil Huijbregts nog niet zeggen. "Zolang het onderzoek nog loopt, mag ik dat niet zeggen", aldus Huijbregts. Xs4all werkt samen met Duitse providers, waarbij een groot onderzoek loopt naar fraude via FritzBox-modems.

Bij de aanval werden via de web-interface van de FritzBox dure telefoonnummers gebeld, waardoor klanten hoge rekeningen kregen. Daarvoor is wel het wachtwoord nodig dat op de router is ingesteld, evenals de gebruikersnaam en het ip-adres, meldt de fabrikant van de FritzBox. Het is nog onduidelijk hoe die gegevens zouden zijn bemachtigd of dat het simpelweg om standaardwachtwoorden gaat. Bovendien moest externe toegang op de router aanstaan.

Xs4all neemt contact op met klanten die zijn getroffen. Ze hoeven de telefoonrekening niet zelf te betalen, belooft woordvoerder Huijbregts. Ook Solcon gebruikt FritzBox-routers. Solcon heeft echter nog geen misbruik geconstateerd, laat een woordvoerder weten. Het moederbedrijf van Xs4all, KPN, gebruikt geen FritzBox-routers.

Moderatie-faq Wijzig weergave

Reacties (121)

Wat daar gebeurd is staat in dit artikel van Der Spiegel beschreven: http://www.spiegel.de/net...-den-router-a-951717.html

Bij 1 van de betroffenen is in een half uur tijd 4300 euro aan belkosten gemaakt door naar nummers op de Falkandeilanden te bellen.

Ik kwam op de link door een G+ posting van Thomas Mueller: https://plus.google.com/1...2144755/posts/8z8CE7CCbmA

Waarschijnlijk is toegang via MyFRITZ! service of via de HTTPS van de FritzBox verkregen, al dan niet via een wachtwoord of een bug in de FritzBox implementatie. Daarbij zijn er WAN/WLAN entries in de telefoonlijst gemaakt:

Foto: http://www.spiegel.de/fot...fotostrecke-110677-2.html

En via die entries is opengesteld dat er over het internet mee gebeld kan worden:

Foto: http://www.spiegel.de/fot...fotostrecke-110677-3.html

Daarna zijn er enorme kosten gemaakt.

Vanmorgen (Florida tijd, zie net pas het Tweakers bericht) even contact gehad met xs4all hierover:

- Hi Jeroen, belangrijk is dat er geen LAN/WAN poorten bij Telephony Devices staan
- Daarnaast is remote access een zwak punt momenteel, bij voorkeur uitzetten
- En dat remote access moet je echt zelf, actief aangezet hebben, je zou dan je modem vanaf extern via ip kunnen bereiken.

FritzBox instellingen gaan op je interne netwerk via http://fritz.box
Uiteraard moet je daar een veilig wachtwoord hebben (zie bijvoorbeeld https://www.xs4all.nl/klant/veiligheid/checklist/wachtwoord/ voor wat tips) dat niet overeenkomt met andere apparaten.

Controle of remote access wellicht open staat: https://www.xs4all.nl/klant/veiligheid/telefoniemisbruik/

Remote access uitschakelen: http://www.avm.de/en/news...secure_remote_access.html en http://www.avm.de/en/service/FAQs/FAQ_Sammlung/14762.php3

Je kunt je xs4all voip nummers hier controleren: https://voip-selfcare.xs4all.nl (inloggen gaat met je VOIP pincode, niet met je VOIP SIP wachtwoord).
Hier staat uitgelegd wat je daar kunt: https://www.xs4all.nl/klant/service/bellen/voip-selfcare/
De call-log staat bijvoorbeeld hier: https://voip-selfcare.xs4all.nl/xs4all/callLog.do
En het kostenoverzicht hier: https://voip-selfcare.xs4...oice.do?methodToCall=init
En je on-line xs4all facturen (met aparte pincode) staan hier: https://service.xs4all.nl/?mod=billing&mod=invoices

Berichtgeving xs4all: https://blog.xs4all.nl/2014/02/06/telefoniemisbruik/

VOIP vanuit de USA is zo enorm veel voordeliger dan mobile roaming, dus je begrijpt al hoe ik vanaf hier gebeld heb met het thuisfront (:

[Reactie gewijzigd door wiert.tweakers op 6 februari 2014 18:06]

Het openzetten van de Fritzbox is te vergelijken als de "logmein" dienst, je registreerd via de "myFritz" service een emailadres en paswoord, dus als dit gehacked is en zeer waarschijnlijk kan een kwaadwillende bij de router, dus het heeft niets met standaard wachtwoorden en/of instellingen te maken.
Er zijn overigens meer routers die op afstand gemanaged kunnen worden, maar meestal worden die instellingen in de router bewaard en niet via een externe dienst.
^^ Dit.

Vanochtend had ik net de logs van m'n fritz'l doorgekeken, en was al verbaasd dat ik daar 175 x

[code]
>| 03.02.2014 10:41 0067859239 IP Telephone 1 0341------ 00:01
[/code]

zag staan. Da's overigens een mobiel nummer in Vanuatu. Kort daarna een mailtje van AVM, en vanmiddag gebeld door XS4All, die mij wist te vertellen dat de toegang *hoogstwaarschijnlijk* via de myfritz.net dienst verkregen was, dat ik de belletjes niet hoefde te betalen en of ik de externe toegang veiligheidshalve wilde uitzetten.
Als toevoeging: er zit ook nog een beveiliging op je SIP-configuratie - en die staat los van je Frits! account. Er moet dus nog iets meer aan de hand zijn naast het enkel toegang hebben tot de Frits!box, anders kan je de SIP-configuratie niet instellen om er misbruik van te kunnen maken.
De instelingen van de Fritz!box worden ook gewoon in de router bewaard.

De "MyFritz" service is een dienst voor mensen die niet de kennis hebben om zelf alle benodigde zaken open te zetten. Maar je kan prima (zoals ik doe) zonder die dienst alles in je FB managen .
De mail die ik binnen kreeg van AVM:
-- English version

Important security information for all FRITZ!Box users with MyFRITZ! service enabled

You are receiving this message as a user of AVM MyFRITZ! at the e-mail address registered with this service.

In recent days there have been several reports of fraudulent use of telephone services connecting through FRITZ!Box routers. AVM has notified its customers and published revelant security instructions. How this abuse has taken place has yet to be established conclusively.

As a temporary safety precaution, AVM recommends that all FRITZ!Box users disable Internet access to the FRITZ!Box via HTTPS (port 443). This also disables access to your FRITZ!Box user interface from any location using MyFRITZ!. Please go to www.avm.de/en/sicherheit for brief instructions.

After disabling Internet access via HTTPS (Port 443), FRITZ!Box services like MyFRITZ! and FRITZ!NAS are no longer available and the FRITZ!Box user interface can no longer be accessed from on the go. But you can continue to use all Internet and home network applications safely at home.

If you saved e-mail addresses in your FRITZ!Box, for example to use push service, we recommend changing the mail password at your e-mail provider for this mail address as a precaution. Any other e-mail addresses not stored in the FRITZ!Box are not affected.

See www.avm.de/en/sicherheit for the latest news. We will inform you as soon as you can resume using both services without restrictions.

If you need further support, our support team with experts on this topic is ready to assist you: contact us at security@avm.de or call +49 30 39 004 554.

We apologize for the temporary limitations to access from on the go, but have decided to recommend these instructions as a securtiy precaution.

Best regards

AVM GmbH
Zelf ben ik geen slachtoffer, maar ik heb deze pagina wel even doorgelopen om te zien of alles goed staat: http://news.avm.de/bc/ser...gADXTkAAAAAAAAAAAAAAAC_xA

Edit: Net mail binnengekregen van XS4All:
Advies: schakel Remote Access uit

Omdat duidelijk is dat in alle gevallen van misbruik een FRITZ!Box modem in gebruik is waarvan de Remote Access aanstaat, raden we u aan om de Remote Access-functie tijdelijk uit te schakelen. Deze functie kunt u alleen zelf uitschakelen in het modem op het adres waar u uw internetverbinding heeft. Wijzig alstublieft ook het wachtwoord van uw FRITZ!box, en het wachtwoord van uw telefonie-account. Als hulpmiddel hebben wij een instructie online gezet: https://www.xs4all.nl/kla...mote-access-uitschakelen/
Onhandig, ik gebruik RA regelmatig, maar okay, zij dragen de kosten. Dat wordt in die mail ook weer bevestigd trouwens.

[Reactie gewijzigd door ADQ op 6 februari 2014 21:06]

Nederlandse versie (http://www.fritzbox.eu/nl...ijk_misbruik_telefoon.php)
Veiligheidsaanwijzing: mogelijk misbruik telefoon

AVM heeft aanwijzingen ontvangen over een mogelijk telefoonmisbruik via de FRITZ!Box. De gevallen worden momenteel door ons onderzocht, actueel zijn er enige tientallen bekend.

Tot nu toe kunnen wij hierover het volgende zeggen: In de genoemde gevallen werd schijnbaar vanaf afstand de router benaderd, en een telefoniedienst geïnstalleerd, waaraan extra kosten zijn gekoppeld. De aanval is alleen mogelijk als de aanvaller beschikt over de precieze combinatie van e-mail adres, FRITZ!Box gebruikersnaam, IP-adres van de FRITZ!Box en wachtwoorden voor toegang vanaf afstand en voor de de FRITZ!Box gebruikersinterface. Er bestaat mogelijk een samenhang met de diefstal van 16 miljoen digitale identiteiten, die kort geleden door de BSI is bekend gemaakt.

Op basis van onze actuele kennis van zaken kunnen wij het volgende zeggen: toegang vanaf afstand is alleen mogelijk als de HTTPS toegang (Port 443) of de MyFRITZ!-dienst in de router is geactiveerd. Hiervoor moet de aanvaller het e-mail adres en het wachtwoord kennen. Als deze niet bekend zijn of als de toegang vanaf afstand niet is geactiveerd heeft tot nu toe geen toegang tot de FRITZ!Box plaatsgevonden.

Als de HTTPS toegang vanaf afstand (Port 443) of de MyFRITZ!-dienst zijn geactiveerd raden wij veiligheidshalve aan de wachtwoorden te vervangen. Deze wachtwoorden moeten bij voorkeur verschillen. Verder kunt u het beste alle gebruikte computers controleren op kwaadwillende software, bijvoorbeeld trojans. Als in de telefoonconfiguratie ongewone regels voor automatisch doorschakelen worden aangetroffen, moeten deze direct worden verwijderd. Een verdere maatregel is het instellen van een telefoonblokkade voor alle buitenlandse telefoonnummers.

AVM gaat op korte termijn op avm.de/security gedetailleerde instructies publiceren en zal nieuwe kennis direct delen.
Gek genoeg hoor ik niets van Xs4all, maar wel van Budget Phone Compagny, waar ik mijn voip-abbo's heb.
Wie zet dan ook aan dat je vanaf het internet bij de configuratie van je modem kan komen?
Ik....
Toegang via poort 443, hoeft niet toegang tot de configuratie te betekenen.
Het modem is meer dan een modem alleen.
Er zijn uitgebreide toegangsniveaus.

Maar voor de zekerheid nu maar even uit.
Same here.

Overigens had ik HTTPS access altijd al via een niet-standaard poortnummer open staan (doe ik ook met SSH access naar m'n Synology doos). Hackers die alleen op well-known poortnummers scannen lijd je er iig mee om de tuin.
Met FRITZ!OS 6.xx zijn die toegangsniveaus er wel, oudere versies hebben die mogelijkheid niet, en alleen de nieuwere modellen hebben een upgrade naar 6.xx gekregen.
De instelling heet "Internet access to the FRITZ!Box via HTTPS enabled". Als je engels niet zo goed is kun je dat best verkeerd begrijpen als "Internetten via de Fritsdoos". Misschien heb je dan ook nog ergens gehoord dat websites bezoeken via HTTPS veiliger is dan zonder. "HTTPS Internetten via de Fritsdoos" lijkt dan al snel een goed idee.
Hier staat stond hij ook aan, ideaal om van afstand mijn pc aan te zetten via WOL. Je kan meer met die fritzboxjes dan alleen wat poortjes forwarden :)
Ik heb de remote access op een andere poort staan omdat op poort 443 een raspberry pi server staat te draaien. Tsja.... aanlaten of uitzetten?

Ik kan de verbinding onder normale gevallen via de pi tunnelen, maar dat ding loopt wel eens vast.
Volgens mij dit zou kunnen gebeuren alleen bij klanten die nog steeds hun login en paswoord niet hebben veranderd na aflevering van de modems .
Standard ip van de Fritzbox:192.168.178.1
Login:Admin
Passwoord: Admin
Standaard staat alles uit voor remote.
Dus mensen die nooit iets veranderen, lopen geen risico.
Bij XS4ALL hebben de gebruikers vaste externe IP adressen, die zijn dus snel bekent.

Boosdoener kon wel eens de MyFritz! dienst zijn van AVM die werkt namelijk met een email adres als inlognaam. De dienst is bedoelt voor gebruikers die geen vast IP adres hebben.
De dienst is mijn inziens voor XS4ALL klanten overbodig, omdat je een vast IP adres hebt.
De Fritzbox heeft geen standaard wachtwoord. Je bepaald dit wachtwoord zelf (of monteur) bij het installeren.
Er bestaat geen default password op de Fritz!Box. Als je hem terugzet naar fabrieksinstellingen dan staat er geen wachtwoord en maak je er een aan als je de Fritz!Box instelt. Default staat remote access niet aan.
Gister nog een fritz.box naar factory instellingen teruggezet. Bij inschakelen moet je een nieuw wachtwoord configureren. Er is geen standaard wachtwoord. My!Fritz staat niet standaard aan, die moet je expliciet inschakelen.
Dit klopt niet. Ik had wel degelijk mijn aanlog gewijzigd. Dus geen admin/admin. Verder kan ik mij niet herinneren dat ik https aan had gevinkt.

[Reactie gewijzigd door Emos op 6 februari 2014 15:52]

Lijkt me dat niet iedereen dat (externe) IP-adres heeft ;)
Gaat om de interne ip adress niet extern

192.168.x.x is geen extern ip
Nee, maar de IP-adressen van xs4all-klanten zijn natuurlijk heel erg makkelijk te achterhalen via RIPE
lol, waarom denk je dat er een smiley achter staat.
(zit al meer dan 15 jaar in de IT)

* net als de 10.0.0.x reeks natuurlijk

** net zo'n geintje als tegen een scrip kiddie zeggen dat je ip 127.0.0.1 is, en dan vragen of ie systeembestanden wil weggooien als bewijs. ;)
Staat op de site van AVM uitgelegd:
http://www.avm.de/de/News...tml?linkident=kurznotiert
en alleen maar als je externe toegang had aangezet (staat default NIET aan)
http://www.avm.de/de/Sicherheit/hinweis.html
Linkje naar de Engelse versies
http://www.avm.de/en/news...14/security_advisory.html
http://www.avm.de/en/Sicherheit/advice.html
(niet 100% een match gevonden maar goed genoeg.)
Tjonge wat kunnen veel mensen er zaken bij halen die er helemaal niets mee te maken hebben, waaronder: tHe_BiNk , Essox_Kill8ox , Unflux, p0pster, arjanv.

Niemand, behalve SAP-BC, die er aan denkt dat er in de Fritzbox een nog onbekende backdoor zit ? Net als bij Linksys- en Netgear een dikke week geleden ?
zie: https://www.security.nl/p...s+kwetsbaar+door+backdoor
Tot dat de fabrikant het bevestigd zit er geen backdoor in. Misschien wel wat duitse politie software. ;p
Heise heeft ook wat info hierover gepubliceerd:
http://www.heise.de/newst...onfiguration-2106542.html

http://www.heise.de/newst...s-Fritzboxen-2104609.html
Für diesen Angriff genügt schon eine Kombination aus E-Mail-Adresse und Passwort, wenn das Passwort für den https-Fernzugriff dasselbe ist wie für die Konfigurationsoberfläche selbst, die man aus dem internen Netz per Browser erreicht. Dieser Fernzugriff kann direkt auf die Box über deren öffentliche IP-Adresse erfolgen wie auch indirekt über den myfritz-Dienst. AVM hat inzwischen einen Sicherheitshinweis zu der Thematik veröffentlicht.

Der Fernzugriff ist allerdings ab Werk abgeschaltet und muss beim Einrichten vom Nutzer gezielt aktiviert werden. Dabei sollte man aber kein zu simples Passwort wählen, dieses auch nicht gleichzeitig für den https-Zugriff und die Konfigurationsoberfläche der Box nehmen und erst recht nicht noch bei anderen Webdiensten verwenden


ff snel vertalen:
De combinatie van email/passwd is waarschijnlijk eerder ontvreemd zie: http://www.heise.de/newst...tze-geknackt-2090167.html. Als vervolgens dat password hetzelfde is als het password voor externe toegang EN die externe toegang ingeschakeld stond, dan was het mogelijk de Fritzbox binnen te komen en die call back routing naar verweggistan te installeren. Externe toegang was OF per IP adres, OF via de myfritz dienst te bereiken (mits het uiteraard AAN stond).

Maar ook hier blijkt weer: IT security blijft een hekel punt... |:(

[Reactie gewijzigd door ehtweak op 6 februari 2014 19:24]

Zelf XS4ALL klant en ook "gedupeerd", mijn remote access stond open met een eigen gekozen username (niet logisch) en password (complex en lang).

Het lijkt erop dat ze uitgaande calls hebben gemaakt VIA de fritzbox, ik zie namelijk vreemde uitgaande oproepen in de call log naar een nummer wat ik niet ken en op tijdstippen dat ik op één oor lag :)
Fritzbox heeft een afschuwelijk en klant onvriendelijke GUI. En er zullen gerust nog wat zero-days inzitten aangezien deze niet over het netwerk worden upgedate.

XS4ALL kan beter overstappen op experia box waar meest technische zaken die men toch nooit hoeft aan te passen niet beschikbaar zijn. Bovendien kunnen ze remote software upgraden.

De tijd dat klanten hun MTU zelf gaan passen e.d. is IMHO allang voorbij.

Overigens een veel groter gevaar die niet alleen XS4all geldt, is wat er gebeurd met VOIP accounts die uit configuratie worden gehaald.

In hoeverre is er een koppeling tussen IP adres en VOIP account voor billing ?
Kan een VOIP account binnen b.v. Xs4all netwerk vanaf een ander IP worden gebruikt? (binnen of buiten xs4all netwerk?) Zo ja, is daar ergens logging van?

Want zodra je VOIP accounts vanaf elders kunt gebruiken, zul je daar een levendige handel in gaan krijgen.
Genoeg vage bel-huizen in binnen en buitenland die daar gebruik van willen maken.
xs4all is van origine een provider met veel techneuten als klant, en dat is nog steeds een heel grote groep klanten van ze.

Dat matched met de keuze voor Fritz!Box die wordt gemaakt door AVM, een Duitse leverancier die ook uit die hoek komt.

Historisch is de UI van de Fritz!Box vanuit de blink van techneuten gemaakt. Veel instelbaar, maar (met name voor een lee) niet altijd logisch. Daar zijn de laatste jaren wel verbeteringen in geweest, en het hele MyFritz! idee is daar een wezenlijk onderdeel van. Wellicht zit daar ook een zwakte, dat zal verder technisch onderzoek moeten uitwijzen.

Ik verwacht niet heel veel zero-days. De AVM techneuten zijn over het algemeen heel kundig (maar niet zo heel sterk in communicatie, hoewel dat de laatste jaren een stuk verbeterd is).

Auto-update is er ook al een tijd: http://www.avm.de/en/Auto-Update/ maar veel techneuten houden niet van een "push update" vanuit de provider.

Die experiabox heeft ook zo zijn nadelen. Dus dat zal voor xs4all in hun router keuze altijd een afweging blijven tussen dichttimmeren vanuit de ISP-zijde en flexibiliteit vanuit de klant-zijde.

Net als veel VOIP providers, zijn ook de VOIP accounts van xs4all buiten de Fritz!Box om te gebruiken: het zijn standaard SIP accounts. Zie https://www.xs4all.nl/klant/helpdesk/bellen/algemeen/

Die koppeling tussen IP-adres en billing is er dus niet: het is een koppeling van SIP account en billing. Elk SIP account heeft een SIP password en een service PIN code.

Logging is er genoeg, daaruit wordt de billing gemaakt. Als klant kun je ook voldoende zijn in het service center (zie mijn eerdere post).

Op dit moment zijn AVM, de Duitse Justitie en xs4all aan het zoeken naar de oorzaak. Gezien de hoeveelheid klanten en de hoeveelheid geld (xs4all stelt zijn klanten bij voorbaat al schadeloos; in Duitsland was een klant die in een half uur 4200 euro kosten had), zijn ze daar veel energie in aan het steken.

[Reactie gewijzigd door wiert.tweakers op 6 februari 2014 19:25]

De GUI is heel gebruiksvriendelijk, en kan via het internet geupdate worden. Fritzbox heeft zelf toegegeven dat er een probleem is, en het werd meteen gemeld door XS4ALL.
Experiabox lekker alles dichtgetimmerd en die GUI is echt bagger.

X-Box die niet werkt en wat ook gewoon niet opgelost wordt. XS4ALL levert een retail modem en je hebt als klant de keuze je modem open te zetten (Remote access), hierbij neem je dus het risico dat derden toegang krijgen als je ze jouw gegevens buitmaken. Dit is met alles wat je open zet om vanaf buiten te benaderen.

XS4ALL biedt open VOIP aan en je kunt dus vanaf elk IP adres bellen met de juiste gegevens. Dit is een bewuste keuze en heeft voordelen en nadelen. XS4ALL is bij misbruik vaak coulant.

Je dient zelf te updaten en kun je met 1 knop doen. Al betwijfel ik of dit echt met de update te maken heeft. Vermoed meer dat het probleem ligt in de MyFritz optie waarbij je gegevens ook ergens anders wordt opgeslagen. Op termijn zal AVM dit wel bekend maken.

Tot nu toe mijn complimenten voor XS4ALL en AVM voor de openheid. Solcon doet nog net of zij er geen last van hebben.

[Reactie gewijzigd door sylvester79 op 6 februari 2014 19:44]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True