TU-Logo

TU Startseite


Sicherheit im Web
Antivirus
sog. E-Mail-Viren (Hoaxes)


Software
Microsoft IE
Java / JS
Win 3.1x
Win 32
Mac
Unix
Amiga
OS/2, Atari, NeXT,...
Suchmaschinen

erweiterte Suche in diesen Seiten
Privacy Policy

Hoax-Liste
Extra-Blätter
nach oben
  © TU Berlin, tubIT, Bearbeiter: Frank Ziemann  -  Update: 02.09.2009
Diese URL ist Ihnen zu lang? -- hoax-info.de führt auch hierher. Fragen zu Hoaxes, Kettenbriefen, Viren: E-Mail
 Hoax-Info   Hoax-Liste   Weblog   Extra-Blätter   Sicherheits-Updates   E-Mail Hilfe   Presse 

Teure Verbindungen
0190-Dialer und die schmutzigen Tricks der Anbieter

Dialer als KaZaa und eMule getarnt
In Spam-Mails werden Websites beworben, auf denen man sich angeblich(!) KaZaa bzw. eMule herunter laden könne. Tatsächlich handelt es sich bei der ca. 155 KB grossen Datei um einen Dialer.
Inhalt:

Einleitung
Die übelste Abzocke im Internet erfolgt mit Einwahlprogrammen, die Internetverbindungen über teure Mehrwertdienste- (Premium-Rate-) Telefonnummern (0190-, 0900-) herstellen. Solche Einwahlprogramme werden Premium-Rate-Dialer oder kurz Dialer genannt (von engl. dial = eine Telefonnumer wählen; sprich: 'dei-e-ler'), oft trifft man auf Bezeichnungen wie Webdialer oder 0190-Dialer.
Grundsätzlich sind diese Programme und die Vermarktung von Online-Inhalten über den Weg der Telefonrechnung legitim. Dies wird bei Websites, deren Inhalte "nur für Erwachsene" gemacht sind, schon seit einiger Zeit praktiziert. Inzwischen werden auch Websites beworben, die (angeblich?) Hacker-Tools und dergleichen anbieten.

Auch mit angeblichen Virenschutzprogrammen wird geworben: Werbe-Mails eines "AntiVirus Team", die z.T. im Betreff den Zusatz "(Weiterleiten)" enthalten, bewerben per "==>Download<==" Link ein Programm namens "downloadtool.exe" oder "antivirus.exe", das de facto ein Dialer ist. Dabei werden gefälschte Absenderadressen eingesetzt.
Die nächste Masche sind Mails, in denen den Empfängern für Hilfe und Unterstützung gedankt wird. Man solle dann mal schauen, wie die neue Website geworden sei. Dort wartet dann ein Dialer auf den Download.

Eine weitere Masche sind angebliche Grusskarten-Mails (z.B. "Live-Cam-Botschaft"). In den Mails wird ein Link angegeben, der eine Web-Seite öffnet. Dort wird Benutzern des Internet Explorers ein ActiveX-Plug-In aufgenötigt, das heimlich einen Dialer installiert (oder dies versucht). Benutzer von Netscape/Mozilla/Opera und anderen Browsern gehen meist leer aus. Oft liegen die Seiten auf kostenlos erhältlichen Server-Kapazitäten bei Tripod in Brasilien (http:///xxxxx.tripod.com.br/xxxxx.txt?xxxxx), während der sichtbare Link in der Mail auf eine andere (gar nicht existierende) URL zu verweisen scheint.

Neueren Datums ist die Masche, eine angebliche Zugangs-Software in einer ZIP-Datei (z.B. bilder.zip) zu versenden. Auch hierbei handelt es sich um einen Dialer.

Waren lange Zeit ausschließlich Windows-Benutzer gefährdet, sind inzwischen auch Berichte über einen ersten Dialer für MacOS X aufgetaucht: ext. LinkMacNews.de.

Neue Werbe-Masche: Windows-Meldungen
Beispiel Werbe-Nachricht Eine neuere Masche der Spammer ist die Nutzung des Windows-Nachrichtendienstes. Durch Senden einer Nachricht an eine IP-Adresse (bzw. an viele Adressen gleichzeitig) erscheint auf Windows-Systemen eine Meldung, die wie eine Windows-Nachricht aussieht. Dabei werden z.B. auch vorgebliche "Sicherheitshinweise" angezeigt, die für bestimmte Websites werben, wo es angeblich Hilfe geben soll. Tatsächlich warten auf diesen Seiten oft auch wieder nur 0190-Dialer. Der Windows-Nachrichtendienst ist bei Windows NT, 2000 und XP standardmäßig aktiv und kann auch bei anderen Windows-Versionen aktiviert sein (wenn die Datei- und Druckerfreigabe installiert ist). Firewalls blockieren diesen Dienst meist.
So schützen Sie sich.

Websites, die solche Dialer verwenden, werden aktiv in Werbe-Mails (Spam) beworben, ohne dass man erfährt, in welche Falle man gelockt werden soll. Folgt man einem solchen Link in einer Werbe-Mail, gelangt man zunächst auf eine Eingangsseite. Von dort geht es meist nur weiter, wenn man zunächst eine Software herunter lädt und installiert. Oft wird der Download auch bereits beim Aufruf der Seite automatisch gestartet. Die Programme werden sehr unterschiedlich etikettiert, übliche Bezeichnungen sind z.B. Zugangssoftware (das ist noch die ehrlichste), Webcam-Tool, Chat-Software, Entschlüsselungsprogramm, Crack-Programm u.v.m. Einige Werbe-Mails versprechen einen "geknackten" Dialer und erwecken so die Erwartung, dass man damit ohne finanzielles Risiko (bzw. kostenlos) Zugriff auf die ansonsten kostenpflichtigen Inhalte erlangen könnte. Auch dies ist eine absichtliche Täuschung. Der Zugang erfolgt immer über teure Mehrwertnummern (0190/0900), die mit keinerlei Tricks zu einer kostenlosen Nutzung "überredet" werden können.

Was passiert da?
Lädt man die Software herunter, installiert und startet sie, baut der Dialer die bestehende Internetverbindung ab (soweit sie über ein Modem, eine ISDN-Karte oder dergleichen erfolgt) und wählt stattdessen eine so genannte Premium-Rate-Nummer. In Deutschland beginnen diese Telefonnummern meist noch mit 0190, in Österreich mit 09x0 (meist 0930), in der Schweiz mit 0906. Auch in Deutschland stellt die RegTP (heute: ext. LinkBundesnetzagentur) die Nummern für diese Premium Rate-Dienste (Telefon-Mehrwertdienste) mittelfristig auf 0900er Nummern um, mit der Zuteilung der Nummern wurde bereits begonnen. Seit Anfang 2003 lösen diese 0900-Nummern schrittweise die 0190-Nummern ab. Bereits vor zugeteilte 0190-Nummern können weiter genutzt werden, neue gibt es nur noch mit 0900-Vorwahl. Ab Herbst 2003 soll es in Deutschland eine eigene Rufnummerngasse für Dialer geben. Dialer dürfen dann nur noch über Vorwahl 0900-9 geschaltet werden. Diese Rufnummerngasse kann man dann bei seiner Telefongesellschaft sperren lassen.

Die Kosten
Die Verbindungskosten sind ungleich höher als bei normalen Internet-Verbindungen. So entstehen bei Rufnummern, die mit 0190-8 beginnen, Kosten von 1,86 EUR/min. Nummern, die mit 0190-0, 0193 und 0900 beginnen, sind frei tarifierbar, d.h. im Gegensatz zu den anderen 0190-Nummernblöcken gibt es keine Obergrenze, der Anbieter kann die Gebühren beliebig festsetzen.
Rufnummern mit 0193 werden auch von ganz normalen Internet-Providern verwendet, dann sind die Gebühren auch im Rahmen der üblichen Preise für Internet-Zugänge. In anderen Fällen werden Tarifmodelle angewendet, die das gesamte Spektrum der Möglichkeiten abdecken. In dem extremsten Fall, der bislang bekannt wurde, werden 900,- EUR pro Einwahl berechnet, auch wenn die Verbindung nur für einen kurzen Moment besteht. Zuvor hatte bereits ein Fall für Aufregung gesorgt, in dem es "nur" 300,- EUR pro aufgebauter Verbindung waren.
In manchen Fällen bleibt die teure Verbindung auch bestehen, wenn man die Seiten des Anbieters verlässt und sich wie gewohnt im Internet weiter bewegt. Das böse Erwachen kommt erst einige Wochen später beim Erhalt der Telefonrechnung, die leicht bis zu mehreren 1000 EUR betragen kann...

Wie kann man sich schützen?
Da es sich bei den Dialern rechtlich um legitime Software handelt, werden sie von Virenscannern nicht gemeldet (Ausnahmen). Auch so genannte "Firewall"-Software bietet keinen Schutz vor dieser Kostenfalle.
Der wichtigste Schutz besteht wie immer in gesundem Menschenverstand kombiniert mit Information. Klicken Sie gar nicht erst auf Links in Werbe-Mails oder auf den beworbenen Web-Seiten. Brechen Sie einen automatisch gestarteten Download sofort ab. Starten Sie nicht eine solche Software.
Es gibt Programme, die Ihr DFÜ-Netzwerk überwachen und Verbindungen zu Premium-Rate-Nummern melden. Die wenigsten dieser Schutzprogramme schaffen es, die Einwahl in allen Fällen zu verhindern, bevor eine Verbindung zustande kommt. Sie sollten sich daher nicht einfach darauf verlassen.
Kostenlos erhältliche Schutzprogramme:

  • 0190 / 0900 Warner von WT-Rate
  • YAW (Yet Another Warner; Entwicklung eingestellt)
  • a2 enthält YAW-Funktionalität - "a2 free" ist kostenlos (dt.)

Es sind bereits erste Dialer aufgetaucht, die aktiv nach den o.g. Programmen suchen um diese auszuschalten. Auch der SmartSurfer von Web.de ist davon betroffen.
Ausgerechnet die Düsseldorfer EOPS Germany GmbH, Hersteller von Dialern (z.B. "X-Diver", der bis zu 300,- EUR pro Verbindungsaufbau abrechnete), hat auch einen (inzwischen kostenpflichtigen) Dialer-Warner ("Dialer-Control") entwickelt. Man ist offenbar bemüht das schlechte Image der Branche aufzupolieren...

Update Mai 02: Virenscanner vs. Dialer
Aufgrund der breiten öffentlichen Diskussion über Premium-Rate-Dialer haben sich auch einige Hersteller von Antivirus-Software entschlossen, Premium-Rate-Dialer in ihrer Virenerkennung zu berücksichtigen. Da Virenscanner jedoch eigentlich Viren finden sollen, gibt es meisst noch keine "passenden" Meldungstexte im Programm. D.h. erkannte Dialer werden derzeit noch als "Viren" gemeldet. Der Namenszusatz "Dial" oder "Dialer" verrät bei näherem Hinsehen, worum es sich handelt. Bislang findet sich eine relativ umfangreiche, aber lange noch nicht vollständige Erkennung von Premium-Rate-Dialer in den Programmen AntiVir von H+BEDV (inkl. Personal Edition) und Ikarus Virus Utilities (inkl. Pscan). Erste Tests zeigen gute Ansätze, aber auch Lücken (PC-WELT, Trojaner-Info).
Auch McAfee/NAI plant die Aufnahme von Dialern in die Viren-Datenbanken, die Erkennung funktioniert jedoch derzeit nur mit dem Kommandozeilen-Programm (scanpm, Parameter '/program'), ab Version 7.0 erlauben auch die normalen Programmpakete eine Erkennung von Dialern. Andere Hersteller von Antivirus-Software werden wohl nachziehen. H+BEDV (AntiVir) hatte die Erkennung von Dialern wg. juristischer Probleme (vorübergehend) deaktiviert, sie ist inzwischen wieder verfügbar.
Update Dezember 04: Die meisten Antivirus-Produkte erkennen inzwischen auch Dialer, es gibt dabei jedoch kein Produkt, das auch nur näherungsweise alle Dialer erkennt.

Eine andere Möglichkeit
Sie können auch bei der Telekom (bzw. Ihrer Telefongesellschaft) eine Sperrung aller 0190/0900-Nummern für Ihren Anschluss beauftragen (einmalige Einrichtungsgebühr). Diese Sperre gilt dann aber auch z.B. für den Faxabruf von Informationen, die u.a. in TV-Sendungen angeboten werden und für Support-Rufnummern. Es ist auch möglich bei ISDN-Anschlüssen einzelne MSNs (hier: abgehende Rufnummern) zu sperren.
Wenn Ihre Geräte über eine TK-Anlage (Telefonanlage) angeschlossen sind, können Sie in manchen Fällen auch in der TK-Anlage den Zugang zu 019x/0900-Nummern sperren. Fragen Sie beim Hersteller/Anbieter nach.

Dialer entfernen
Die meisten Dialer haben eine Deinstallationsmöglichkeit, die über Systemsteuerung/Software benutzt werden kann. Allerdings wird man dabei oft feststellen müssen, dass der Dialer nach dem nächsten Neustart des Rechners wieder da ist! Gehen Sie dann wie folgt vor:

Registrierungseditor
  1. Einträge des Dialers in der Registry suchen und notieren
  2. Dialer über Systemsteuerung/Software deinstallieren
  3. Einträge des Dialers in der Registry suchen und ggf. entfernen (solche, die nicht entfernt und solche die neu eingefügt wurden)
  4. Rechner erst jetzt neu starten
  5. nach dem Neustart Task-Manager und Registry kontrollieren

Registry kontrollieren (1., 3., 5.):
[START] Ausführen... 'regedit' [OK]
Einträge suchen in diesen Schlüsseln:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService

Zumindest im ersten genannten Schlüssel (Run) finden sich auch legitime Einträge (Virenscanner, SystemTray, Grafikkarten-Tool,...). Im zweiten (RunOnce) findet sich evtl. erst nach der Deinstallation ein Eintrag, dieser kann der Neuinstallation beim Neustart dienen.

Registrierung exportieren Warnung:
Bei Änderungen in der Registry vorsichtig sein. Diese werden sofort gültig, Funktionen wie 'rückgängig machen' oder 'Änderungen speichern' sind nicht vorhanden. Exportieren Sie einen Schlüssel in eine Datei, bevor Sie etwas darin ändern (als Backup und auch zum Vergleichen).

In einigen Fällen (z.B. 'WinMuschi' u.a.) muss zur Entfernung auch noch ein ActiveX-Control namens 'WebInstall' aus dem Ordner 'Downloaded Program Files' entfernt werden: ext. LinkPlanetopia (25.05.03)

Hohe Telefonrechnung - was nun?
Suchen Sie den Dialog mit Ihrer Telefongesellschaft (z.B. Telekom). Bezahlen Sie zunächst nur den Teil der Telefonrechnung, der nicht von dem Dialer verursacht wurde. Wenn Sie gar nicht zahlen, riskieren Sie eine Sperre Ihres Anschlusses. Suchen Sie die Beratungstelle einer Verbraucherzentrale auf. Sichern Sie Beweise (Screen-Shots/Bildschirmfotos) - die Taste [Druck] auf Ihrer Tastatur erzeugt eine Kopie des momentanen Bildschirminhalts in der Zwischenablage, die Sie in einem Bild- oder Textverarbeitungsprogramm Ihrer Wahl einfügen können (mit Strg-V). Die Beweislast liegt bei Ihnen!
Lesen Sie die ext. LinkTipps der bayrischen Kriminalpolizei zu dem Thema.

Ich habe DSL...
Wer einen DSL-Anschluss hat (z.B. T-DSL, QDSL), kann über diesen Anschluss nicht mittels eines Dialers zur Kasse gebeten werden. Anbieter von kostenpflichtigen Seiten verlangen daher eine Telefonverbindung (quasi 'fernmündlich') zwecks Abrechnung. Wenn jedoch ein Modem, eine ISDN-Karte oder dergleichen installiert und betriebsbereit ist (z.B. als Faxlösung), kann ein Dialer darüber eine Verbindung herstellen. Sicherste Methode zur Vermeidung: Stecker der Telefonleitung zum Gerät ziehen, nur bei Bedarf anschliessen. Externe Geräte können auch einfach ausgeschaltet werden.
Wenn Ihre für den DSL-Zugang verwendete TK-Anlage über eine Konfigurationsmöglichkeit via PC verfügt (zusätzliches USB- oder COM-Kabel), ist Vorsicht angebracht. Prinzipiell könnte ein Dialer über dieses serielle Kabel (auch USB ist seriell) eine Wählverbindung aufbauen, wenn das mit Ihrem Gerät möglich ist. Entfernen Sie das nur zur Konfiguration benötigte Kabel.

Was tut die dt. Bundesregierung?
11.07.2003: Der Bundesrat hat ein neues Gesetz gegen den Missbrauch von 0190er- und 0900-Nummern beschlossen, das Ende August in Kraft treten soll. Damit werden die Kosten auf 30 EUR pro Anruf (im Blocktarif) bzw. 2 EUR pro Minute bei max. 60s-Taktung begrenzt. Ferner wird eine Zwangstrennung nach einer Stunde vorgeschrieben. Für Dialer soll bis Ende 2003 eine spezielle Rufnummerngasse (0900-9) eingerichtet werden. Heise-Ticker vom 11.07.03 | Heise-Ticker vom 23.07.03
15.08.2003: Die vorgenannten Regelungen sind nunmehr in Kraft. Für nicht bei der RegTP registrierte 0190-/0900-Dialer besteht nunmehr kein Rechtsanspruch auf Zahlung der Rechnung. Dies gilt nicht für vor dem 15.08.2003 entstandene Ansprüche.

21. Mai 2003: Die RegTP hat auf ihrer Website eine Suchmaschine zu 0190er Rufnummern bereit gestellt.
28. Juli 2003: Die RegTP hat auf ihrer Website eine Suchmaschine zu 0900er Rufnummern bereit gestellt.
24. Sept. 2003: Die RegTP hat auf ihrer Website eine Suchmaschine für registrierte Dialer bereit gestellt.
12. Dez. 2003: Kostenpflichtige Dialer dürfen ab 14. Dez. 2003 nur noch über die Rufnummerngasse 0900-9 betrieben werden. Auch bis dato in den Rufnummerngassen 0190 und 0900 betriebene Dialer müssen ab diesem Datum die neue Rufnummerngasse nutzen, andernfalls besteht lt. RegTP kein Zahlungsanspruch mehr. Die RegTP hat mehreren 100.000 Dialern die Registrierung entzogen.
01. April 2004: In der Schweiz sind Internet-Dialer seit dem 1. April 2004 verboten.
15.04.2004: Die RegTP widerruft die Registrierung von weiteren 25.000 Dialern, wg. fehlender Wegsurfsperre. Damit entfällt (auch rückwirkend!) die Zahlungsverpflichtung für Betroffene.
01.10.2004: In Österreich ist nun die Rufnummerngasse 0939 für Dialer vorgeschrieben.

Status Ende 2004:
Die Dialer-Problematik hat sich etwas entschärft, seit die Bundesregierung entsprechende Gesetzesänderungen erlassen hat. Insbesondere der Registrierungszwang für Dialer bei der RegTP hat zunächst zu einer 'Marktbereinigung' geführt. Viele unseriöse Anbieter haben von Dialern auf Kreditkartenabrechnung umgestellt.
Entwarnung kann jedoch weiterhin noch nicht gegeben werden. Anbieter im In- und Ausland sind nach wie vor im Markt und versuchen mit unlauteren Methoden ihre Dialer auf die PCs unvorsichtiger Anwender zu drücken. Diese wählen zum Teil teure Auslands- und Satellitennummern. Aber auch registrierte Dialer, die 09009-Nummern wählen, werden z.T. mit allerlei Tricks 'unters Volk' gebracht, ohne dass der Benutzer etwas davon bemerkt.
Inzwischen mehren sich die Stimmen, die ein generelles Verbot von Dialern fordern - wie es bereits in der Schweiz geschehen ist. Hauptargument neben dem weiterhin grassierenden Missbrauch: Es gibt genug andere Zahlungssysteme, mit denen seriöse Anbieter ihre kostenpflichtigen Dienste abgerechnen können.

Andere Informationsseiten zum Thema Dialer:

Wenn Sie regelmäßig über neue Entwicklungen zu diesem Thema informiert werden möchten, abonnieren Sie den kostenlosen Hoax-Info-Newsletter.     [bisherige Ausgaben, Hoax-FAQ]


zum Anfang dieser Seite | Zurück zur Hoax-Seite