# Bundesamt warnt: Auslands-Dialer immer gefährlicher



## sascha (3 Oktober 2004)

*Bundesamt warnt: Auslands-Dialer immer gefährlicher*

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer zunehmenden Gefahr durch Auslands-Dialer. Illegale Programme, die statt deutscher Mehrwert-Nummern ausländische Ziele anwählen, würden immer häufiger eingesetzt: „Der Trend ist nach einem kurzen Rückgang leider wieder steigend – mit wachsender Qualität der Auslandsdialer hinsichtlich der Installation und Aktivierung“, sagte BSI-Sprecher Michael Dickopf gegenüber Dialerschutz.de. 

Der Missbrauch von Dialern ist längst zu einem europaweiten Problem geworden. Zum Einsatz kommen dabei vor allem Einwählprogramme, die von Surfern ungewollte und oft auch unbemerkt exotischen Inseln wie Nauru oder Diego Garcia anwählen – zu horrenden Kosten. Ein Rätsel bleibt dabei nach wie vor, wie die Täter im Hintergrund von derartigen Einwahlen profitieren. Zwar liegt der Verdacht nahe, dass die betroffenen Telefongesellschaften mit den Anbietern derartiger Dialer entsprechende Abkommen geschlossen haben und sich die Gebühren teilen – konkret bewiesen werden konnte dies jedoch noch nicht.

Vor allem die Schweiz, Italien und neuerdings auch Irland und Großbritannien leiden seit langem unter einer regelrechten Flut von Beschwerden über Auslands-Dialer. Doch auch vor Deutschland macht die Plage nicht Halt – im Gegenteil: Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) stapeln sich regelrecht die Nummern, die im Zusammenhang mit Dialer-Missbrauch auffällig wurden: „Ende September waren es insgesamt 3500 Nummern“, berichtet BSI-Sprecher Michael Dickopf gegenüber Dialerschutz.de. Um zumindest den finanziellen Schaden durch derartige Dialer einzudämmen, arbeitet das BSI eng mit der T-Com zusammen: „Nach Meldungen von Betroffenen über auffällig gewordene Rufnummern, die den bisher bekannten Nummernblöcken zuzuordnen sind, bzw. nach Zusendung von Dialern, die nicht registriert sind oder nicht den Registriervorschriften entsprechen, werden die neuen Rufnummern an die T-Com übermittelt“, so Dickopf. Dort werden die Nummern dann gesperrt oder beobachtet, bis ein Grund zur Sperrung vorliegt. Die T-Com hatte im März erklärt, in solchen Fällen neben der Sperrung auch keine Auszahlung an die betroffenen ausländischen Unternehmen vorzunehmen. Ob dies tatsächlich geschieht, ist unklar. Mehrere entsprechende Anfragen von Dialerschutz.de an die Pressestelle der T-Com blieben bis heute unbeantwortet. 

Tatsächlich gleicht der Kampf gegen die illegalen Einwählprogramme dem klassischen Wettkampf von Hase und Igel: Je intensiver die Behörden gegen die illegalen Dialer vorgehen, umso perfider werden die Tricks der Anbieter. Was BSI-Sprecher Dickopf eine „wachsende Qualität hinsichtlich der Installation und Aktivierung“ bei Auslands-Dialern nennt, zeigt auch ein aktueller Fall, der Dialerschutz.de und Computerbetrug.de vorliegt - und vielen Usern womöglich hohe Rechnungen bescheren dürfte. 

Die Täter setzen dabei gleich eine ganze Reihe von „aktuellen“ Tricks ein, um User um ihr Geld zu bringen. Zunächst kapern sie mittels Hijacker den Internet Explorer der Betroffenen und richten als neue Start- und Suchseite eine jener fragwürdigen Suchmaschinen ein, die unter dem Oberbegriff Cool Web Search bekannt geworden sind. In diesem Fall wird die Domain lookfor.cc benutzt, die unter bestimmten Umständen auf eine speziell präparierte Webseite umleitet. Dort wird nun versucht, über zwei Sicherheitslücken in Microsofts Internet Explorer eine Datei namens mypleasure.exe auf dem PC zu installieren und auszuführen. Besonders perfide: Der Dialer mypleasure.exe wird dabei auf dem infizierten Rechner über ein Script in notepad.exe umbenannt. Dann lädt er von der Webseite die zu verwendenden Rufnmmern herunter und wählt sich über diese ein. In Deutschland werden unter anderem die Nummern 006753237615, bzw. 006753237652 (Papua Neu Guinea) verwendet. Vorangestellt ist jeweils die Call-by-Call-Nummer 010066 der Mcn tele.com AG Bad Homburg, offenbar, um etwaige Sperren bei der T-Com zu unterlaufen. Gelingt die Einwahl nicht, wird nochmals eine Einwahl nach Österreich, den Cook Inseln oder nach Estland probiert. Dieses Vorgehen erlaubt es, kurzfristig gesperrte Rufnummern auszutauschen und die Rufnummern nach Ursprungsland des Opfers auszuwählen. Während der teuren Auslandseinwahl wird die originale notepad.exe auf dem PC als notepad.exe.bak gesichert und nach 5000 Sekunden zurückgeschrieben, so dass vom Dialer keine Spuren bleiben. 

Das BSI und die Regulierungsbehörde wurden von uns über diesen neuen Trick informiert. Immerhin einen Trost gibt es: Virenscanner mit aktuellen Signaturen sollten bei den Manipulationsversuchen Alarm schlagen und die eingesetzten Scripte als Trojaner erkennen. 

cu,

Sascha


----------



## Anonymous (3 Oktober 2004)

*MCN als Mitstörer?*



			
				sascha schrieb:
			
		

> *Vorangestellt ist jeweils die Call-by-Call-Nummer 010066 der Mcn tele.com AG Bad Homburg, offenbar, um etwaige Sperren bei der T-Com zu unterlaufen. *


*

Da müsste man eben eine Beschwerde an die MCN tele.com in Bad Homburg mit Kopie an den Mitbewerber T-COM und die Wettbewerbszentrale (auch Bad Homburg) und den VZBV in Berlin geben. Der Mitbewerb wird wegen UWG- Verstoß den Mitstörer und Mitverdiener ebenso abmahnen wie WWZ und VZBV. Ist der Druck hoch genug, wird man sicher aufgeben, diese Form der "Geldwäsche" zu unterstützen. Sonst isssss das Image schnell weg. Und die T-COM wird kaum das Inkasso bei solchen Dingen durchführen. 
Sobald MCN vom Missbrauch erfahren hat, muss diese, wie bei der TELEKOM, die Nummer sperren,- Basta! Oder sieht das jemand anders ?*


----------



## Dino (3 Oktober 2004)

Genau, und dann ist alles gut und die Welt ist in Ordnung. Hast Du mal die Suchfunktion des Forums mir "MCN", "mcntele" oder "mcn-tele" bemüht? Da frage ich mich dann, welches Image Du meinst...


----------



## Anonymous (3 Oktober 2004)

MCN hat wegen eines Falles schon eine detaillierte Beschwerde gekriegt. Wie die intern reagiert haben, ist nicht bekannt.
Siehe hier:
 blaue SChrift klicken . 

Der Inhaber der beanstandeten Seite, die Grundlage für die Beschwerde bei mcn war, taucht auch hier auf:

 matlock - alte Bekannte 

Ergebnis der Abfrage der Nummer:
 wenn der link klappt 



			
				rtr schrieb:
			
		

> Diensteanbieter hinter der Rufnummer (0)820 550522 :
> bis 10.09.2004
> ab 20.08.2004 International Telecoms Ltd.
> Apdo de Correos 277, ES-35571, Macher
> ...



 Das sind die Inhaber der damals beanstandeten Seite,

siehe 
http://whois.webhosting.info/universaltelecoms.info

(bitte nur den whoislink besuchen, nicht die Seite(n) - ich habe extra eine gewählt, die a.f.a.i.k. ungefährlich ist, über einen klick auf die IP findet man die unangenehmeren...))


----------



## littlebird's prompter (3 Oktober 2004)

Dino schrieb:
			
		

> Genau, und dann ist alles gut und die Welt ist in Ordnung. Hast Du mal die Suchfunktion des Forums mir "MCN", "mcntele" oder "mcn-tele" bemüht? Da frage ich mich dann, welches Image Du meinst...


 Da muss ich Dir ausnahmsweise widersprechen, die müssen sehr wohl auf ihr Image achten:

kuck mal hier
www.dt-mb.de/aktuelles/presse/quartalsinformation_12004.pdf+%22q1+carrier%22+mcn-tele&hl=de] html-version einer pdf aus google [/url]

oder hier:
 Originallink ppt/pdf  (hier insbesondere die GRafik auf S. 2 unten beachten!)

und schau Dir an, wo das veröffentlicht wird:
www.dt-mb.de

Grüsse
Jeremy


----------



## Aka-Aka (10 Januar 2005)

gab es denn eigentlich eine Stellungnahme seitens der Firma mcn-tele?


----------

