Heute morgen wurden wir aus Indien mit Fakenews zu unserem Air-Gapped Windows-PC angerufen. 4 mal, beim 5ten mal passierte das hier đ
„Hello, you reached Interpol, how can we…“ *click*
Irgendwie hat das Wort Interpol bei den Indern eine Allergische Reaktion hervorgerufen, ich konnte nicht mal meinen Fiktiven Namen nennen đ
Na gut, da bleibt wohl nur die Forensische Untersuchung. Dazu brauchen wir:
– eine Fritzbox
Denn, eine Fritzbox hat ein Funktion zum Herunterladen von Erweiterten Supportdaten fĂŒr AVM, das machen wir uns zu nutze đ Und Ihr mĂŒĂt schnell sein, schon der nĂ€chste Anruf kann die Daten die wir brauchen, aus der Liste werfen.
Wie kommt man an die Daten ran?
Dazu loggt Ihr Euch in die Fritz!box ein, notfalls die erweitere Ansicht starten.
1) auf Inhalt klicken
2) auf „Fritz!Box Support“ klicken
3) und Daten speichern
Da sind jetzt jede Menge Daten drin, aber findet man da die richtigen. U.a. ist in den Daten die Anruferliste drin, da taucht die fiktive Nummer auf, die der Anrufer sich gegeben hat. AuĂerdem stehen die SIP Header der letzten Anrufe zur VerfĂŒgung, aber eben nur 3 oder 4, deswegen gleich machen đ
Wenn Ihr weiter nach der Rufnummer sucht, dann stoĂt Ihr zwangslĂ€ufig auf das hier:
2022-06-14 10:50:34.284 – IN: my=Fritz.box-IP%16:5060 peer=212.227.124.129 port=5060 UDP, sipiface=none:
INVITE sip:49meinenummer@meine-IP;uniq=4ED0D261308B18E3479371E6DE583 2.0
Via: SIP/2.0/UDP 212.227.124.129;branch=z9hG4bK558a.a1b3af1c4cb4a9d3db770f9c2540be30.0
Via: SIP/2.0/UDP 212.227.67.227;branch=z9hG4bK558a.43f57bddf2d907ac8e703c88816f28c8.0
Via: SIP/2.0/UDP 212.227.124.145;branch=z9hG4bK558a.0196cb5967141d39c551e1029d6b8409.0
Via: SIP/2.0/UDP 212.93.31.246:5060;branch=z9hG4bK1kv0so005gggdkea0210.1
Record-Route: <sip:212.227.124.129;lr=on>
Record-Route: <sip:212.227.67.227;lr=on;ftag=o6at64tt-CC-1067-OFC-1770;did=e18.5d83>
Record-Route: <sip:212.227.124.145;lr=on>
From: „+49458911245“ <sip:+49458911245@Versatel.de;transport=udp;user=phone>;tag=o6at64tt-CC-1067-OFC-1770
To: „+49meinenummer“ <sip:+49meinenummer@1und1.de;user=phone>
Call-ID: y6bosyszeetyiy769vbssneaa9yetzi6@10.18.5.64
CSeq: 1 INVITE
Contact: <sip:+49458911245@212.93.31.246:5060;user=phone;transport=udp>
History-Info: <sip:+49meinenummer@1und1.de>;index=1
History-Info: <sip:+49meinenummer@1und1.de;user=phone>;index=1.1;np=1
Max-Forwards: 59
P-Early-Media: supported
Supported: timer
Min-SE: 90
Session-Expires: 1800;refresher=uac
Allow: INVITE, ACK, OPTIONS, BYE, CANCEL, INFO, PRACK, NOTIFY, MESSAGE, REFER, UPDATE
Content-Type: application/sdp
Content-Length: 313
Die IP Adresse im Contact:-Header ist die des Anrufer, oder zumindest die, die er nach auĂen in dem Netz hatte. Er könnte ja auch per VPN drin sei, oder einen gehackten PC kontrollieren. Diese IP ist das einzige wahre an dem ganzen Anruf, denn um die Verbindung zu halten, mĂŒssen die SIP Pakete routebar sein, also kann man keine gefĂ€lschten IPs wie bei einem DDOS benutzen.
Mit den Daten oben könnt Ihr dann tatsĂ€chlich zur Polizei gehen und Anzeige erstatten, weil es hier tatsĂ€chlich einen Ermittlungsansatz gibt. NatĂŒrlich sind die Inder nicht wirklich in Deutschland, aber beim Provider der das SIP GesprĂ€ch an Euch durchgereicht habt, muĂ es auch Log zur echten IP geben, weil, wie gesagt, mit gefĂ€lschten Ips gehts nicht. Also ist da entweder ein gehackter PC / Telefonanlage im Spiel, oder ein VPN. Auf beides muĂ man mit IPs zugreifen. So oder so, tut ihr was Gutes đ
Um die Anrufer aus dem obigen Beispiel kĂŒmmert sich die Kripo Wuppertal đ
Follow-UP: „Hello, you reached Interpol, how can we …“ *click*