Aktuell sind Besitzer von AVM FRITZ!Boxen (auch wir, wie im Bild oben zu sehen) das Ziel von Hackern, die versuchen, sich in die Bedienoberfläche der Router einzuloggen. Um sich angemessen zu schützen, sollten FRITZ!Box-Benutzer rasch Sicherheitsvorkehrungen treffen.
Die Angriffe erfolgen derzeit über die Anmeldung zum Fernzugriff, wobei Hacker versuchen, unbefugten Zugang zu den FRITZ!Box-Routern zu erlangen. Sie nutzen dabei die sogenannte Credential-Stuffing-Methode, bei der zahlreiche verschiedene Kombinationen von Benutzernamen und Passwörtern ausprobiert werden, um Zugriff auf die FRITZ!Box zu erhalten.
Berichte von Benutzern auf Borns IT- und Windows-Blog zeigen, dass Aufzeichnungen über diese Angriffe in den Ereignisprotokollen der Router zu finden sind. Dort sind auch die verwendeten Anmeldeinformationen ersichtlich, die von den Angreifern genutzt werden, um Zugang zu erhalten. Häufig werden dabei gängige Benutzernamen und Passwörter verwendet, wie beispielsweise „admin“ oder E-Mail-Adressen, die aus Vor- und Nachnamen zusammengesetzt sind.
Die Angriffe erfolgen in unregelmäßigen Abständen, wobei die Login-Versuche stets von IP-Adresse 193.46.255.151 ausgeführt werden. Die Identität der Angreifer ist zum gegenwärtigen Zeitpunkt jedoch noch unbekannt.
Was kann dagegen unternommen werden?
Um sich vor solchen unerwünschten Zugriffen zu schützen, sollten Besitzer einer FRITZ!Box verschiedene Vorsichtsmaßnahmen ergreifen. Dazu gehört es, keine gängigen Benutzernamen wie „admin“ oder einfache Passwörter wie „1234…“ etc. zu verwenden. Benutzer, die solche oder ähnliche Kombinationen verwenden, sollten diese umgehend ändern.
Des Weiteren ist es ratsam, das Passwort für den Fernzugriff zu ändern und sicherzustellen, dass es sich um eine einzigartige Zeichenfolge handelt, die nicht auch für andere Konten des Benutzers verwendet wird. Es ist derzeit unklar, ob die bei den Einwahlversuchen verwendeten Anmeldeinformationen aus Datenlecks stammen.
Die Einstellungen für die Benutzer können im Menü der FRITZ!Box (in der Adresszeile eines Browser fritz.box eingeben) eingesehen und geändert werden:
Bitte keine Panik beim Benutzer fritz1234, dieser ist beabsichtigt angelegt, eine Erklärung dazu erhält man beim Klick auf das Fragezeichen hinter „automatisch angelegt“.
Wenn kein Zugriff aus dem Internet für die FRITZ!Box benötigt wird, sollte dieser unter den o. g. Einstellungen des Benutzers deaktiviert werden:
Wird der Zugriff aus dem Internet benötigt, sollte die Zwei-Faktor-Authentifizierung aktiviert werden.
AVM bietet in seinem Ratgeber gute Artikel zur Absicherung der FRITZ!Box an, im aktuellen Zusammenhang empfehlen wir den Beitrag Sicherheitshinweise für MyFRITZ!Net, dort wird auch die Einrichtung der Zwei-Faktor-Authentifizierung beschrieben.
ich bekomme immer noch anfragen auf meiner Box hier kann man sehen wo es herkommt https://www.heise.de/netze/tools/whois/
address: A… (anonymisiert)
address: P… (anonymisiert)
Hallo Tom,
es wird aber vermutlich mit VPN oder gehakten Geräten gearbeitet, typischerweise kommen diese Anfragen nicht vom eigentlichen Standort.
VG, Frixi
Moin
die Fritzbox macht das eigentlich ganz gut, nach dem 2. Fehlversuch verzögert sich die Möglichkeit sich nochmal anzumelden immer mehr. Es ist also normalerweise nicht möglich „schnell“ viele Anmeldeversuche zu machen.
Bei dem Eintrag auf die Blacklist können auch ganze Subnetze gesperrt werden falls der Angreifer die nächste IP des VPN Anbieters nehmen sollte. Also statt 193.46.255.151 etwa so: 193.46.255.0/24
Noch besser ist es allerdings das Fritzbox Webinterface gat nicht für den Zugang aus dem Internet freizugeben. Besser mit einer VPN Verbindung (z.b. Wireguard) ins Büro- bzw Heimnetz einwählen und dann „von innen“ auf die Fritzbox Weboberfläche zugreifen.
Ist etwas Gebastell aber bringt deutlich mehr Sicherheit.
Moin,
die Empfehlung können wir genau so weiterreichen, die Einrichtung von VPN beschreibt AVM in diesem Beitrag sehr schön.
VG, Frixi