Heute morgen wurden wir aus Indien mit Fakenews zu unserem Air-Gapped Windows-PC angerufen. 4 mal, beim 5ten mal passierte das hier 😀

„Hello, you reached Interpol, how can we…“ *click*

Irgendwie hat das Wort Interpol bei den Indern eine Allergische Reaktion hervorgerufen, ich konnte nicht mal meinen Fiktiven Namen nennen 🙂

Na gut, da bleibt wohl nur die Forensische Untersuchung. Dazu brauchen wir:

– eine Fritzbox

Denn, eine Fritzbox hat ein Funktion zum Herunterladen von Erweiterten Supportdaten für AVM, das machen wir uns zu nutze 🙂 Und Ihr müßt schnell sein, schon der nächste Anruf kann die Daten die wir brauchen, aus der Liste werfen.

Wie kommt man an die Daten ran?

Dazu loggt Ihr Euch in die Fritz!box ein, notfalls die erweitere Ansicht starten.

1) auf Inhalt klicken

2) auf „Fritz!Box Support“ klicken

3) und Daten speichern

Da sind jetzt jede Menge Daten drin, aber findet man da die richtigen. U.a. ist in den Daten die Anruferliste drin, da taucht die fiktive Nummer auf, die der Anrufer sich gegeben hat. Außerdem stehen die SIP Header der letzten Anrufe zur Verfügung, aber eben nur 3 oder 4, deswegen gleich machen 😉

Wenn Ihr weiter nach der Rufnummer sucht, dann stoßt Ihr zwangsläufig auf das hier:

2022-06-14 10:50:34.284 – IN: my=Fritz.box-IP%16:5060 peer=212.227.124.129 port=5060 UDP, sipiface=none:
INVITE sip:49meinenummer@meine-IP;uniq=4ED0D261308B18E3479371E6DE583 2.0
Via: SIP/2.0/UDP 212.227.124.129;branch=z9hG4bK558a.a1b3af1c4cb4a9d3db770f9c2540be30.0
Via: SIP/2.0/UDP 212.227.67.227;branch=z9hG4bK558a.43f57bddf2d907ac8e703c88816f28c8.0
Via: SIP/2.0/UDP 212.227.124.145;branch=z9hG4bK558a.0196cb5967141d39c551e1029d6b8409.0
Via: SIP/2.0/UDP 212.93.31.246:5060;branch=z9hG4bK1kv0so005gggdkea0210.1
Record-Route: <sip:212.227.124.129;lr=on>
Record-Route: <sip:212.227.67.227;lr=on;ftag=o6at64tt-CC-1067-OFC-1770;did=e18.5d83>
Record-Route: <sip:212.227.124.145;lr=on>
From: „+49458911245“ <sip:+49458911245@Versatel.de;transport=udp;user=phone>;tag=o6at64tt-CC-1067-OFC-1770
To: „+49meinenummer“ <sip:+49meinenummer@1und1.de;user=phone>
Call-ID: y6bosyszeetyiy769vbssneaa9yetzi6@10.18.5.64
CSeq: 1 INVITE
Contact: <sip:+49458911245@212.93.31.246:5060;user=phone;transport=udp>
History-Info: <sip:+49meinenummer@1und1.de>;index=1
History-Info: <sip:+49meinenummer@1und1.de;user=phone>;index=1.1;np=1
Max-Forwards: 59
P-Early-Media: supported
Supported: timer
Min-SE: 90
Session-Expires: 1800;refresher=uac
Allow: INVITE, ACK, OPTIONS, BYE, CANCEL, INFO, PRACK, NOTIFY, MESSAGE, REFER, UPDATE
Content-Type: application/sdp
Content-Length: 313

Die IP Adresse im Contact:-Header ist die des Anrufer, oder zumindest die, die er nach außen in dem Netz hatte. Er könnte ja auch per VPN drin sei, oder einen gehackten PC kontrollieren. Diese IP ist das einzige wahre an dem ganzen Anruf, denn um die Verbindung zu halten, müssen die SIP Pakete routebar sein, also kann man keine gefälschten IPs wie bei einem DDOS benutzen.

Mit den Daten oben könnt Ihr dann tatsächlich zur Polizei gehen und Anzeige erstatten, weil es hier tatsächlich einen Ermittlungsansatz gibt. Natürlich sind die Inder nicht wirklich in Deutschland, aber beim Provider der das SIP Gespräch an Euch durchgereicht habt, muß es auch Log zur echten IP geben, weil, wie gesagt, mit gefälschten Ips gehts nicht. Also ist da entweder ein gehackter PC / Telefonanlage im Spiel, oder ein VPN. Auf beides muß man mit IPs zugreifen. So oder so, tut ihr was Gutes 😉

Um die Anrufer aus dem obigen Beispiel kümmert sich die Kripo Wuppertal 😉

Follow-UP: „Hello, you reached Interpol, how can we …“ *click*