kümmert sich um Ihre Sicherheit
english deutsch français polski russian magyar
Produkte
Kaufen
Support
Partner
Presse
Agnitum

Presse

Home
Pressemitteilungen
Agnitum Newsletter
Auszeichnungen
Presseraum
PR-Kontakt

Unerwünschte Dialer: vom Problem zur Lösung

Das Problem - Funktionsprinzipien

Vor einigen Jahren tauchte eine besondere Art von Schadprogrammen auf – die sogenannten unerwünschten Dialer (Einwahlprogramme) oder trojanischen Dialer. Solche Programme dienen dazu, kostenpflichtige Mehrwehrtdienste-Rufnummern anzuwählen oder Ferngespräche herzustellen, bei denen Verbindungsgebühren pro Minute anfallen. Das setzt voraus, dass der Computer des Opfers über ein Modem mit dem Telefonnetz verbunden ist.

Man muss zwischen zwei Arten von Dialer-Programmen unterscheiden: Die erste Gruppe, die durchaus legitim ist, besteht aus Programmen, die dazu entwickelt wurden, dem Anwender die Gebühren für den Zugriff auf kostenpflichtige Bereiche bestimmter Webseiten zu berechnen. Solche Programme bieten ganz offen das Herunterladen einer Software an, die auf Webseiten für besondere Interessen zugreift (üblicherweise mit pornografischen oder ähnlichen nicht jugendfreien Inhalten). Diese Programme werden erst dann auf einem Computer installiert, wenn der Benutzer/die Benutzerin es ausdrücklich genehmigt hat.

Im Gegensatz dazu ist die zweite Gruppe gänzlich illegal. Diese Programme werden manchmal als unerwünschte Dialer bezeichnet. Sie werden ganz ohne Wissen des Anwenders installiert und nutzen Sicherheitslücken in der Software oder andere Schwachstellen in der Systemkonfiguration oder -wartung aus. Ein unerwünschter Dialer täuscht vielleicht vor, vor der Installation nach der Zustimmung des Anwenders zu bitten, er ignoriert die Antwort des Anwenders dann jedoch und installiert sich heimlich im Hintergrund. Die Motive hinter solchen Programmen reichen von einfachen Streichen über Racheakte bis hin zu finanziellem Gewinn in schwereren Fällen. Für letzteres muss der Täter eine kostenpflichtige Premium-Rufnummer registrieren und einrichten lassen (viele Telekommunikationsunternehmen bieten ihren Kunden solche ‚Prime Rate Service’ Dienste zur Abrechnung kostenpflichtiger Anrufe für TV-Umfragen und anderer kommerzieller Leistungen an). Durch die Entwicklung oder Bestellung des Dialers für die entsprechende Telefonnummer kann der Täter einiges an Geld verdienen.

Wir wollen uns den typischen Ablauf eines solchen Dialer-Geschäfts einmal anschauen. Dieses Modell trifft sowohl auf legale als auch auf illegale Dialer zu.

  1. Die Anbieterfirma vermietet (ähnlich wie ein Internet-Provider) die Telefonleitung und richtet eine spezielle Modem-Einwahlnummer mit der technischen Möglichkeit ein, Anrufern die Kosten für die Verbindung zu dieser Nummer zu belasten. Diese Firmen entwickeln einzigartige Versionen der Dialer-Programme und statten sie mit einer Rückverfolgungsnummer aus, um die Zahlungen einziehen zu können.

  2. Die Kunden sind Firmen, die einen kostenpflichtigen Zugriff auf ihre Ressourcen anbieten. Sie benutzen dazu die von der Anbieterfirma bereitgestellten Dienstleistungen.

  3. Vermittlungsseiten sind Internetseiten, die Anzeigen und Links zu den Dialern auf ihre Webseiten stellen. Solche Seiten können auch Host-Sicherheitslücken ausnutzen, wie z.B. Skripte, die im Hintergrund ausgeführt werden und ohne Wissen des Anwenders Dialer installieren (die oben erwähnten kriminellen Dialer). Jede dieser Seiten hat neben der Haupt-Abonnementnummer noch eine ergänzende ID-Nummer, um die Rückverfolgung und Berechnung zu erleichtern.

Bei jedem Anruf wird eine Identifikationsnummer an die technischen Einrichtungen in der Anbieterfirma übermittelt, so dass der Anrufer mit den entsprechenden Kosten belastet werden kann. Der Benutzer wird dann zu den von den einzelnen Kunden betriebenen Bereichen mit eingeschränktem Zugriff weitergeleitet. Unter dem Strich erhalten die Anbieterfirmen sowie deren Kunden ihren Anteil vom Gewinn, während der nichtsahnende Anwender die komplette Rechnung für den Premium-Zugriff zahlt.

Die finanziellen Schäden aufgrund von Dialern können beträchtlich sein. Dem Autor sind Fälle bekannt, in denen Anrufe bei Mehrwertdienst-Rufnummern nicht selten Kosten im vierstelligen Bereich verursacht haben. Unbestätigten Berichten zufolge gibt es Fälle, wo Schäden von immerhin 3000 US-Dollar (knapp 2.300 Euro) entstanden. Angesichts der Tatsache, dass in Deutschland auch nach Abschalten der 0190er-Nummern zum 01. Januar 2006 die Verbindungsgebühren bis zu 2 Euro pro Minute und bis zu 30 Euro pro Einwahl betragen können, kann im Monat eine erhebliche Schadenssumme zusammenkommen.

Oft legen die Opfer solcher Machenschaften Widerspruch gegen die berechneten Beträge ein und betonen, dass sie Opfer sind und nicht zur Verantwortung gezogen werden können. In diesem Fall überprüft der Telefonanbieter die Aufzeichnungen des Berechnungsprogramms, um die Verbindung zu bestätigen. Das ermöglicht es dem Betreiber, seine Forderungen weiter geltend zu machen. Auch nach der Änderung der Gesetzeslage im Jahr 2003 zugunsten der Verbraucher ist es vor allem bei Satelliten- und Auslandsanrufen extrem schwierig und zeitaufwendig, sich gegen unberechtigte Forderungen zu wehren. Sehr häufig mussten die Anwender, die die Anrufe verursacht haben, auch dafür bezahlen.

Die Telekommunikationsunternehmen und andere Organisationen einschließlich der Strafverfolgungsbehörden können die Programmierer der Dialer-Programme nicht anklagen, da die Entwickler legaler Software durch die offizielle Zustimmung der Anwender zur Installation geschützt werden. Programmierer illegaler Dialer greifen oft auf die Dienste ausländischer Staaten zurück, die diese Art von Aktivität nicht gesetzlich verfolgen. Da diese Staaten unter Umständen dadurch erhebliche Summen einnehmen, sind sie nicht allzu motiviert, diese Tätigkeiten zu verhindern.

Obwohl Breitband- und DSL-Anschlüsse in vielen Gebieten die altmodische Internet-Einwahl abgelöst haben, bleibt die Problematik der illegalen Dialer bestehen. Das hat verschiedene Ursachen. Zunächst einmal sind in vielen Computern immer noch Modems eingebaut, die mit dem Telefonnetz verbunden sind. Auch wenn der Anwender sich nicht über das Modem ins Internet einwählt, kann die automatische Einwahl bei aktiviertem Modem immer noch heimlich erfolgen. Nicht immer ist es möglich, das Modem einfach von der Telefonleitung zu trennen, da es gelegentlich auch zum Senden und Empfangen von Telefaxen benötigt wird. Der Hauptfaktor dafür, dass nach wie vor die Telefoneinwahl verwendet wird, ist die unzureichende Entwicklung von Breitbandzugängen in Gebieten wie Asien, Osteuropa, Südamerika, Afrika und anderen technisch nicht voll entwickelten Regionen.

Aus diesen Gründen bleibt die Einwahl über das Telefonnetz auch weiterhin eine häufig verwendete und weitverbreitete Art des Internetzugangs. Es ist deshalb wichtig, die Anwender vor illegalen Dialern zu schützen.

Ursachen und Anzeichen einer Dialer-Installation

Dialer können einen PC auf unterschiedliche Weise infiltrieren; ein typischer Befall sähe jedoch folgendermaßen aus: Beim Surfen auf einer Webseite (hauptsächlich im nicht jugendfreien Bereich oder im Unterhaltungsbereich) wird einem Anwender eine Fehlermeldung mit der Nachricht angezeigt, dass es nicht möglich ist, auf bestimmte Inhalte zuzugreifen. Die Webseite fordert den Anwender zum Download einer speziellen Software auf, die nach dem Wählen einer bestimmten Telefonnummer den Zugriff ermöglichen soll. Wenn der User zustimmt, wird eine kleine Datei heruntergeladen und installiert. Auffallend ist, dass die meisten Warnmeldungen und Benachrichtigungen, die vom Dialer angezeigt werden, eine interessante Eigenschaft haben: sie werden nämlich in einer anderen Sprache als der Landessprache angezeigt. In den meisten Fällen kann der Anwender die angezeigten Mitteilungen einfach nicht verstehen und gibt ohne sein Wissen die Zustimmung zur Installation und nachfolgenden Einwahl. Der Verfasser dieses Artikels hat Dialer ausgewertet, die in den Dialogfeldern die Sprachen Deutsch, Italienisch und Englisch verwendet haben.

Nachdem der Dialer installiert wurde, unterbricht er die bestehende Verbindung und wählt die Premiumdienst-Rufnummer. Als Folge werden die Seitenbereiche mit eingeschränktem Zugriff verfügbar. Darüber hinaus sind einige Systeme so ausgeklügelt, dass sie einem Anwender nicht nur den Zugriff auf bestimmte Standorte ermöglichen, sondern auch als regulärer Internet-Provider fungieren. Das könnte dazu führen, dass ein Anwender über längere Zeiträume hinweg mit einer Einwahlnummer verbunden bleibt, für die völlig überhöhte Gebühren anfallen.

Dialer können außerdem jeden beliebigen Funktionsschritt im Verborgenen durchführen - von der Installationsphase bis hin zur tatsächlichen Einwahl. Eine Verbindung kann ohne Wissen des Anwenders hergestellt werden; ein Schadprogramm kann eine aktive Verbindung zum Internet erkennen, sie unterbrechen und eine neue Verbindung zu einer bestimmten Nummer herstellen, die dann zur Standardverbindung gemacht wird. Außerdem kann ein Dialer die geltenden DFÜ-Einstellungen ändern, indem er die ursprüngliche Einwahlnummer mit einer betrügerischen ersetzt und sich mit dieser Nummer verbindet. Einige illegale Dialer erkennen es, wenn der Computer gerade nicht benutzt wird (durch Überwachung von Maus- und Tastaturaktivität) und stellen Verbindungen her, wenn der Anwender vermutlich gerade nicht am Computer sitzt.

Es gibt zahlreiche Symptome, die auf einen Dialer-Befall hinweisen können, von sichtbaren Änderungen der DFÜ-Eigenschaften über spontane Abbrüche und Wiederherstellungen der Modemverbindung, verringerte Internet-Verbindungsgeschwindigkeit ohne erklärbare Ursachen, einer besetzten Telefonleitung, wenn das Modem eigentlich nicht verwendet wird bis hin zu einem Modemgeräusch, wenn man den Telefonhörer abnimmt.

Ich möchte an dieser Stelle anmerken, dass einige Fachleute empfehlen, als Vorsichtsmaßnahme gegen unerwünschte Dialer den Modemton angeschaltet zu lassen, dass in einigen Fällen unerwünschte Dialer den Modemton jedoch vorübergehend deaktivieren und nach Beendigung ihrer Aufgabe wieder aktivieren können.

Reaktionen der Antiviren-Hersteller und Unzulänglichkeiten von Antiviren-Software

Aus verschiedenen Gründen haben die Hersteller von Antiviren-Programmen nicht angemessen auf Dialer-Programme reagiert. Einige AV-Anbieter haben das Vorhandensein eines solchen schädlichen Codes praktisch völlig ignoriert, andere konnten es mit den Standard-Einstellungen nicht erkennen und beheben. Nur ein Bruchteil der Anbieter von Sicherheitssoftware hat auch Dialer-Programme in die Datenbanken bekannter Bedrohungen aufgenommen, aber das reichte kaum aus: In dem Maße, wie die Anzahl und die Komplexität der Dialer-Programme stieg, mussten auch die Datenbank ständig aktualisiert werden.

Dialer sind eine recht umstrittene Art von Programmen. Ihre Entwickler versuchen aktiv dafür zu sorgen, ihr Image aufzupolieren, so dass sie nicht mehr als schädlicher Code, sondern als Werbeprogramme oder Programme für Mehrwertdienste angesehen werden. Sie behaupten, dass die offizielle Einwahl mit der Zustimmung eines Users erfolge, etwa wenn der User über die Notwendigkeit benachrichtigt wird, die bestehende Verbindung zu beenden und eine andere Nummer zu wählen. Manchmal werde der Verbindungspreis in den Anweisungen oder anderen Begleitinformationen angegeben. Deshalb fordern die Programmierer unerwünschter Dialer, dass die Hersteller von Antiviren-Programmen ihre Software aus den Signatur-Listen für bösartigen Code entfernen.

Um 2005 und 2006 herum begannen die Antiviren-Hersteller sich der Problematik der unerwünschten Dialer anzunehmen. Zusammen mit den AV-Anbietern boten auch Dienstleister wie Telefonanbieter und Internetanbieter ihren Kunden eine Form von Dialer-Schutz. Das hat dazu geführt, dass praktisch jedes Antiviren-Produkt eine Schutzmöglichkeit gegen schädliche Dialer enthält. Unglücklicherweise haben aber beinahe alle Anbieter bei der Wahl des Schutzes denselben Weg eingeschlagen - das Abfangen von Bibliotheksfunktionen für Anrufe (wie etwa RasDial, tapiRequestMakeCall) im Anwender-Modus.

Leider kann diese Abfangmethode keinen vollständigen Schutz bieten. Außer der Verwendung von Bibliotheks-Funktionen wie RAS API and TAPI kann ein Programm eine Verbindung auch durch direktes Schreiben auf dem Port (CreateFile – WriteFile – CloseHandle) herstellen. Die Vorgehensweise der AV-Hersteller, Standard-Bibliotheksfunktionen abzufangen, löst das Problem nicht, da das umgangen werden kann und die AV-Software nicht die Fähigkeit beeinträchtigt, direkt auf dem Port des Gerätes zu schreiben.

Einige Anti-Dialer-Produkte sind etwas weiter gegangen – sie haben einen speziellen Treiber hinzugefügt, der die an das Modem geschickten Daten zurückverfolgt und sie auf das Vorhandensein Dialer-typischer Befehle hin analysiert. Mit dieser Änderung könnten Anti-Dialer-Programme unzulässige Einwahlversuche zwar wirkungsvoller abwehren, auf den zweiten Blick zeigen sich jedoch einige beunruhigende Schwächen. Durch eine fehlerhafte Filterungsroutine des Datenstromes könnten Dialer bei solchen Sicherheitslösungen völlig im Verborgenen arbeiten. Das bedeutet, dass Kontrollsysteme mit speziellen Kommandoänderungen untergraben werden können.

Die Lösung – das Plug-In DialStop

Der Autor hat eine tiefgehende Analyse aller Schwachstellen durchgeführt, die von modernen Anti-Dialing-Systemen ausgenutzt werden können. Die in diesem Artikel beschriebenen Schwächen und die Notwendigkeit, Modem-Benutzer zuverlässig zu schützen, haben zur Entwicklung eines proprietären Systems gegen unerwünschte Dialer geführt. Es basiert auf einem eigenen, speziellen Treiber im Kernel-Modus (so werden die Schwachstellen vermieden, die sich durch das Abfangen von Standard-Bibliotheksfunktionen öffnen) in Kombination mit einem lernfähigen Algorithmus zur Datenanalyse, der Verbindungsversuche zuverlässig entdeckt und den Anwender zu einer Eingabe auffordert.

Der Systemtreiber überprüft die Unversehrtheit und Gültigkeit der übertragenen Daten und schützt so vor einer Übernahme der Treiber-Steuerung durch bösartigen Code und einer Erweiterung der Systemprivilegien. Das geschieht durch die Gültigkeitsprüfung von Paketen und ihrer relativ kleinen Größe. Sollte ein Schadprogramm versuchen, Modems in einem System neu zu installieren und so die Sicherheitskontrollen zu umgehen, entdeckt das Plug-In DialStop die Änderung und bietet die Möglichkeit, einen Schutz für das Modem einzurichten.

Das System wurde für den Betrieb unter Microsoft Windows 2000 / XP / 2003 Server Plattformen entwickelt und ist auf der Agnitum-Webseite kostenlos als Plug-In für Outpost Firewall Pro erhältlich.


Dieser Artikel entstand unter Mitwirkung von Oleg Bil, dem Autor der Software DialStop.
Lernen Sie den Autor

 

Igor Pankov war schon immer von Computern, dem Internet und der Freiheit fasziniert, sich mit wenigen Mausklicks durch die weltweite Wissensdatenbank zu klicken.
Lesen Sie mehr...

Sicherheitgeschichten
Melden sie sich noch heute an!
Beziehen Sie unsere kostenlosen monatlichen Newsletter:
Agnitum Newsletter (Neuigkeiten)

Geben Sie hier bitte Ihre EMailadresse ein:

RSS feed
Nutzungsbedingungen   Suche   Site map   Kontakt   Datenschutzerklärung   PR-Kontakte   
Outpost Security Suite PRO   Outpost Firewall PRO   Outpost Antivirus PRO   Outpost Network Security
Alle Rechte vorbehalten © 1999–2012 Agnitum Ltd.