Die neueste Attacke richtet sich in erster Linie gezielt gegen FritzBox-Modelle, die über einen aktiven Fernzugriff verfügen. Der IT-Spezialist Günter Born wurde als Erster auf die Angriff aufmerksam, als er in den Log-Dateien seines AVM-Routers ungewöhnlich viele fehlgeschlagene Anmeldeversuche feststellte.
Zugriff auf frühere Daten-Lecks
Laut Born gehen die Angriffsversuche offenbar von einer einzigen IP-Adresse (193.46.255.151) aus und haben die Übernahme der FritzBoxen zum Ziel. Wie viele AVM-Router bei den Hacker-Attacken tatsächlich geknackt worden sind, ist nicht bekannt.
Die Hacker probieren bei ihrem Angriffsversuch eine breite Palette von möglichen Benutzernamen aus, um sich Zugang zu verschaffen. Beim sogenannten „Credential Stuffing“ werden bereits bekannte Kombinationen aus Benutzernamen und Passwörtern verwendet, die vermutlich durch frühere Daten-Lecks erbeutet worden sind.
Wenn ein User also z.B. mal früher „Fortuna95“ als Passwort genutzt hat, kann es gut sein, dass er nunmehr ein leicht abgewandeltes Passwort wie „Fortuna79“ nutzt. Darauf spekulieren die Cyber-Kriminellen. Auch werden häufig vorkommende Standard-Nutzer wie „admin“ oder „administrator“ sowie E-Mail-Adressen und andere individuelle Nutzernamen, die teilweise aus reinen Vornamen oder zusammengesetzten Vor- und Nachnamen bestehen, ausprobiert.
Allgemeine Sicherheitsmaßnahmen
Die gute Nachricht ist, dass in der Regel ganz allgemeine Sicherheitsmaßnahmen helfen, um die Hacker abzuwehren. Das sind also Maßnahmen, die für eine FritzBox von AVM, einen Vodafone GigaCube oder jeden anderen Router gelten, egal, ob dieser einen Internet-Zugang über DSL, TV-Kabel-Glasfaser oder 5G herstellt.
Um den Router vor Hacker-Angriffen zu schützen, sollten Nutzer zunächst einmal den Fernzugriff komplett deaktivieren. Alternativ kann man auch eine Zwei-Faktor-Authentifizierung aktivieren.
Eine dritte Möglichkeit ist die Einrichtung eines Virtual Private Network (VPN), das einen sicheren Zugriff auf das Netzwerk ohne den Fernzugriff des Routers ermöglicht. Dabei wird zunächst eine gesicherte Verbindung zum internen Netzwerk hergestellt und von dort aus auf das Web-Interface des Routers zugegriffen. Der Fernzugriff auf den Router kann in diesem Fall deaktiviert werden.
Unbedingt Zugangsdaten ändern
Es ist nicht sicher, ob die Hacker bei früheren Attacken die vorgegebenen Standard-Benutzernamen und Passwörter erbeutet haben könnten. Das sind die Kennungen, die man in der Regel auf einem Schild auf dem Router selbst findet.
Viele User belassen es bedauerlicherweise aus Bequemlichkeit bei diesen vorgegebenen Einstellungen und sind so ein leichtes Ziel für Hacker-Attacken wie derjenigen, die zurzeit gezielt gegen AVM-Router ausgeht. Vielmehr sollte man stattdessen Standard-Benutzernamen und -Passwörter, die bei der Einrichtung der FritzBox vorgegeben sind, so schnell wie möglich ändern.
Besonders vergessliche Naturen sollten sich die neuen Zugangsdaten analog auf einem Zettel notieren. Alternativ kann man als Gedächtnisstütze auch einen Eintrag im Telefonbuch erstellen. Um die größtmögliche Sicherheit zu gewährleisten, sollten nicht nur Ziffern, sondern auch Buchstaben und Sonderzeichen eingesetzt werden.
Immer auf Updates achten
Es lohnt sich außerdem, immer die aktuelle Version von FritzOS installiert zu haben. Das ist das Betriebssystem, das auf allen AVM-Routern installiert ist.
Um festzustellen, ob FritzOS auf dem neusten Stand ist, muss man sich im Browser seines Rechners unter fritz.box anmelden, das auf dem Router befindliche oder später selbst generiert Passwort eingeben und schließlich unter dem Menüpunkt „Sicherheit“ die FritzOS-Version ablesen. Bei der häufig verwendeten FritzBox 7520 ist das z.B. die Version FritzOS 7.57.