Damit Sie Lösungen nicht suchen, sondern finden ! Damit Sie Lösungen nicht suchen, sondern finden !


 

Asterisk als Waffe:
Von Telefon-Spammern und Trickbetrügern

Gastkommentar, Linux-Magazin 4/2008

Ungekürzte, aktualisierte Originalfassung des Gastkommentars "Asterisk als Waffe"


Weitere Kommentare, Reden, Interviews

Als "Dual Use Good" im Zivilbereich könnte man intelligente Telefonanlagen-Software wie Asterisk bezeichnen, denn die lässt sich für kriminelle Zwecke ebenso gut nutzen wie zur Forensik. Nicht nur Trickbetrüger, sondern auch Strafverfolger dürften deshalb an Asterisk ihre helle Freude haben. Telefon-Spammer allerdings sehen ganz besonders schlechten Zeiten entgegen.

Wäre ich Trickbetrüger, dann würde ich versuchen, mir mit Asterisk ein nettes Zusatzgeschäft aufzubauen, indem ich Kontonummern und zugehörige Kennwörter von Telefonbanking-Kunden ausspioniere. Das funktioniert dann besonders gut, wenn die Bank kein TAN-Verfahren verwendet, sondern ihre Kunden nur mit Namen, Kontonummer und stets mit dem gleichen Kennwort authentifiziert. Schön ist, dass sich Bankmitarbeiter und Kunde ruhig bereits an der Stimme kennen dürfen, denn mir reicht die Rolle als "Man in the Middle".

Meinen Opfern schicke ich zunächst einen echt aussehenden Bank-Serienbrief, in dem sie erfahren, die Rufnummer für Telefonbanking habe sich geändert. Doch die neue Nummer gehört in Wahrheit nicht der Bank, sondern mir selbst, und auf dem Anschluss lauert Asterisk. Meine Anlage ist so konfiguriert, dass sie den ankommenden Anruf auf einer zweiten Leitung an die echte Bank-Telefonnummer weiterleitet,aber zugleich das gesamte Gespräch mitschneidet. So sammle ich von allen Geleimten die Konten-Kennwort- Paare ein und räume später deren Konten ab.

Arglose Kunden

Die meisten Empfänger meines "Bank"-Briefes dürften keinen Verdacht schöpfen, denn sie erreichen die Bank wie gewohnt und ohne erkennbare Verzögerung. Der Anrufer kann sogar den Bank-Mitarbeiter Schulze am anderen Ende der Leitung zweifelsfrei identifizieren, der ihn fragt, ob sich die hartnäckige Grippe der Frau Gemahlin schon wieder gebessert habe.

Diese Möglichkeit ist technisch nicht neu und auch nicht Asterisk-spezifisch. Einen ankommenden Call umleiten und dabei das Gespräch aufnehmen konnte man schon anno Tobak bei analogen Anschlüssen. Die benötigte Technik und das kriminelle Geschäftsmodell sind, damals wie heute, geradezu erschreckend trivial, doch die Erfolgschancen dürften dessen ungeachtet ganz beträchtlich sein. Die Höhe der Beute wohl auch, wenn man's richtig anstellt.

Obwohl diese Gefährdung seit Jahrzehnten besteht, erinnere ich mich nicht, dass die Journaille dieses Thema jemals aufgegriffen hätte. Ebenso wenig sind mir Banken bekannt, die für Telefonbanking ein Call-Back-Verfahren verwenden.

Rattenfänger gegen Telefon-Spam

Da ich zumindest bisher kein Trickbetrüger bin, versieht Asterisk in meiner Firma eine ganz andere Aufgabe: Es legt Telefon-Spammern das Handwerk. Das sind nach meiner Definition Anrufer, die verbotene Telefonwerbung betreiben und dabei typischerweise die Übermittlung ihrer eigenen Rufnummer unterdrücken. In den vergangenen zwei Jahren war mein Leidensdruck ganz erheblich gestiegen, denn 45 Prozent der Anrufe auf dem betroffenen ISDN-Anschluß waren Telefon-Spam.

Erfreulicherweise ist das Prinzip eines Asterisk-basierten "Rattenfängers" konfigurationsmäßig kaum aufwändiger als beim Trickbetrüger-Beispiel. Bei einem ankommenden Anruf mit unterdrückter Rufnummer klingelt kein Telefon, sondern Asterisk antwortet automatisch und leitet ein Frage-Antwort-Spiel ein. Das geschieht so, dass der Anrufer zumindest einige Frage-Antwort-Sequenzen lang glaubt, mit einem echten Menschen zu sprechen. Ziel ist es dabei, dem Anrufer seinen Namen und den Namen seiner Firma zu entlocken, und natürlich auch, warum er anruft. Jeder Anrufer, der etwas verkaufen will, fällt fast zwangsläufig darauf herein, denn die kommunikativen Variationsmöglickeiten zu Gesprächsbeginn sind prinzipiell sehr begrenzt. Vor allem will ein Vertriebler keinesfalls riskieren, dass der potenzielle Kunde auflegt.

Da bei Asterisk 1.4.15 nun auch WaitForSilence() einwandfrei funktioniert, entstehen bei diesem Frage-Antwort-Spiel weder lange Kunstpausen, noch fällt der Rattenfänger dem Anrufer unnötig ins Wort. Zur Beweissicherung speichert Asterisk das Audio in zwei WAV-Dateien, fein säuberlich nach Kommunikationsrichtung getrennt. Die Qualität ist dabei zwar mitunter durchwachsen, für Beweismaterial aber allemal ausreichend. Hier gibt es eine amüsante Demo mit dem echten Rattenfänger zu hören, wenngleich der Anruf gestellt ist.

Tricksen und täuschen

Was der Rattenfänger so alles an den Tag brachte, war erstaunlich. Beispielsweise American Express scheint derartige Werbemethoden nicht nur nötig zu haben, sondern hält zumindest hier bisher auch den Rekord für Hartnäckigkeit. Pikanterweise ging aber auch ein Akteur aus dem Linuxtag-Umfeld in die Falle: Im Januar 2007 rief ein Marco W. mit unterdrückter Rufnummer an und gab sich als jemand aus, der "von der Messe Berlin" sei. Er wolle mit mir erörtern, ob ich mich zum Linuxtag 2008 in Berlin "präsentieren" wolle -- in diesem Kontext die verkäuferische Umschreibung für "Standfläche mieten" oder auch für "Sponsoring". Eine Nachfrage bei der Messe Berlin ergab, dass jener Herr W., anders als von ihm behauptet, gar kein Mitarbeiter der Messe war, sondern ein Mitarbeiter der Nürtinger Firma IT-Advantage.

Die Recherche bezüglich der Herkunft meiner eigenen Kontaktdaten führte von der Messe Berlin zu IT-Advantage und zur Münchener Firma Nomina, die meine Daten ohne mein Wissen und ohne meine Zustimmung gespeichert hatte. Diese Daten waren dann den Berlinern verkauft worden, wenn man der betreffenden Messe-Projektleiterin Glauben schenken darf. Und was die Rolle von IT-Advantage betraf, so fahre "die Messe zusammen mit IT-Advantage eine Sales-Aktion".

Durchschlagender Erfolg

Ohne Asterisk's forensische Qualitäten wären obige Verquickungen wohl kaum aufzudecken gewesen, doch es kommt noch besser. Nachdem der Rattenfänger im letzten Quartal 2007 gerade mal zwei Wochen in Betrieb war, sank die Anzahl der Spam-Anrufe schlagartig von 45 Prozent auf fast null. Obwohl ich meine Vermutung nicht verifizieren kann, spricht einiges für die Annahme, Call Center der weniger koscheren Art unterhielten sogenannte schwarze Listen mit Telefonnummern, von deren Anschlussinhabern ihnen Ungemach droht. Wie es aussieht, hatten IT-Advantage und die Messe Berlin auf solche Listen wohl keinen Zugriff.

Profit überwiegt Strafzahlungen

Outbound Call Center haben technisch schon längst aufgerüstet, doch mit Asterisk bietet sich erstmals auch dem Angerufenen die Chance, den schwarzen Schafen der Branche Paroli zu bieten. Konnten Call Center sich Dank unterdrückter Absender-Rufnummer bisher noch leidlich sicher fühlen, werden sie nun leichte Beute für Asterisk-basierte Rattenfänger.

Doch Hand auf's Herz: Viel ändern wird das zumindest in allernächster Zukunft nicht, denn der erzielbare Profit überwiegt gelegentliche Strafzahlungen ganz offensichtlich immer noch bei weitem. Zumindest so lange, bis Fritzboxen eines Tages schon in der Default-Einstellung als Rattenfänger-Appliances fungieren.


Eitel Dignatz ist Strategieberater und Inhaber der Münchner Unternehmensberatung Dignatz Consulting.

zum Seitenanfang   Seitenanfang
vorherige Seite   zurück