SMS-Spoofing: Definition und Schutzmaßnahmen

Was ist SMS-Spoofing?

Beim SMS-Spoofing werden Textnachrichten mit einer gefälschten Absender-ID gesendet, sodass sie aus einer vertrauenswürdigen Quelle zu kommen scheinen, etwa von einem Freund oder Kollegen oder von Ihrer Bank. Cyberkriminelle spoofen SMS-Nachrichten, um Malware zu verbreiten, schädliche Websites zu verlinken oder ihre Opfer dazu zu bringen, Geld zu überweise oder persönliche Daten preiszugeben und dann Identitätsdiebstahl zu begehen.

SMS-Spoofing vs Smishing

Unter Smishing – SMS-Phishing– versteht man die Verwendung betrügerischer SMS-Nachrichten in Social Engineering-Malware, Betrug oder Identitätsdiebstahl. Beim SMS-Spoofing – das oft in Smishing-Kampagnen eingesetzt wird – werden Absender-IDs manipuliert und die wirklichen Absender der Textnachrichten verschleiert.

Wie funktioniert SMS-Spoofing?

Um eine gespoofte SMS zu erstellen, verändern manche Cyberkriminellen die Absender-ID im Header der SMS, sodass ein anderer Name oder eine andere Nummer angezeigt wird. Andere benutzen Hardware, etwa beschädigte SIM-Karten oder gehackte Geräte, um die betrügerischen SMS zu schicken.

Das bedeutet, dass eine gespoofte SMS sogar im selben Thread auftauchen kann, in dem Sie zuvor mit dem echten Gesprächspartner kommuniziert haben.

Hier einige der Tricks, die die Angreifer für ihre gespooften SMS verwenden:

• SMS-Spoofing-Apps: Spezielle Apps können die IDs der Absender von SMS verändern, sodass diese von einer anderen Nummer zu kommen scheinen.
• SIM-Swapping: Betrüger können Mobilfunkanbieter dazu verleiten, ihnen Zugriff auf die SIM-Karte eines Kunden zu geben, sodass sie anschließend gespoofte Nachrichten scheinbar von der Nummer des Opfers senden können.
• Phishing-Malware: Malware kann die Angreifer in die Lage versetzen, vom Gerät ihres Opfers ausgehende Nachrichten abzufangen und zu manipulieren.
• Outsourcing: Tools für Cybercrime-as-a-Service sind illegale Software, die es Angreifern erleichtert, Cyberkriminalität wie SMS-Spoofing zu begehen.

Ist SMS-Spoofing illegal?

SMS-Spoofing zum Zweck von Betrug oder Identitätsdiebstahl ist illegal. Aber es gibt durchaus legale Formen von SMS-Spoofing. Unternehmen können ihre Telefonnummern "spoofen", um die Kommunikation mit ihren Kunden zu erleichtern. So könnte beispielsweise eine Bank Nachrichten an ihre Kunden mit einer Absender-ID wie "Nachricht von Ihrer Bank" anstatt ihrer eigentlichen Telefonnummer senden.

Auch für Einmal-Passwörter und Terminerinnerungen eignet sich dies. Bei auf diese Weise gespooften Nachrichten ist die Wahrscheinlichkeit größer, dass die Empfänger sie öffnen, anstatt sie für SMS-Spam zu halten.

So erkennen Sie Spoofing

Es ist zwar äußerst schwierig, SMS-Spoofing allein anhand der Absender-ID zu erkennen; vielen gespooften SMS sind jedoch bestimmte warnende Merkmal gemeinsam, die darauf hinweisen, dass etwas nicht stimmt. Diese Anzeichen zu erkennen, kann Ihnen helfen, sich besser vor Betrügern zu schützen.

Darauf sollten Sie achten:

• Verdächtige Forderungen: Unternehmen oder Einzelpersonen fordern normalerweise nicht per SMS Geld oder Informationen von Ihnen. Wenn jemand eine solche Forderung an Sie stellt, ist die SMS wahrscheinlich eine Fälschung.
• Dringender Ton: Betrüger versuchen oft, Sie durch Angst oder ein Gefühl von Dringlichkeit zu manipulieren und zu gedankenlosem Handeln zu verleiten. So könnten Sie beispielsweise eine gespoofte Nachricht von Ihrer Bank erhalten, die Ihnen mitteilt, dass Ihr Konto gesperrt wird, wenn Sie nicht sofort Ihre PIN mitteilen.
• Ungewöhnliche Telefonnummern: Wenn Sie eine verdächtige SMS von einem bekannten Kontakt erhalten, vergleichen Sie die Telefonnummer des Absenders mit den gespeicherten Daten des Kontakts auf Ihrem Telefon. Weichen die Nummern voneinander ab, handelt es sich wahrscheinlich um Betrug.
• Grammatik- und Rechtschreibfehler: Hacker machen zuweilen absichtlich Fehler, um vorsichtigere Personen, die sich weniger leicht hinters Licht führen lassen, auszuschließen. Überprüfen Sie die Rechtschreibung der Absender-ID. Vielleicht fällt Ihnen auf, dass der Name eines Ihnen bekannten Absenders falsch geschrieben ist.
• Links oder Anhänge: Gespoofte SMS enthalten normalerweise schädliche Links und Anhänge. Diese Phishing-Tricks sind oft Versuche, Ihr Telefon mit Malware zu infizieren, um danach weitere Angriffe durchzuführen.
• Nicht klickbare Absenderfelder: In Textnachrichten können Sie normalerweise in das Absenderfeld klicken, um Informationen über den Absender, etwa seinen Namen und seine Telefonnummer, anzuzeigen. Wenn sich das Feld nicht anklicken lässt, bedeutet das, dass der Absender etwas zu verbergen versucht.

Formen des SMS-Spoofing

Häufig vorkommende Formen von SMS-Spoofing sind vorgetäuschte Bankenmitteilungen, Paketzustellungsbetrug, ungebetene Massen-SMS und Unternehmensspionage Die meisten dieser Tricks können auch beim Spoofing der Anrufer-ID vorkommen, wobei die Betrüger Sie direkt anrufen, anstatt eine SMS zu schicken.

Vorgetäuschte Bankenmitteilung

Bei vorgetäuschten Bankenmitteilungen erhalten die Opfer üblicherweise eine SMS, mit der sie aufgefordert werden, eine größere Transaktion zu verifizieren, oft durch Antworten mit "Ja" oder "Nein". Anschließend werden sie mit einem falschen "Bankmitarbeiter" verbunden, der versucht, sie dazu zu bringen, ihre persönlichen Daten oder Online-Banking-Details herauszugeben.

Paketzustellungsbetrug

Bei dieser Betrugsmasche mit SMS-Spoofing erhalten die Opfer eine SMS, die vorgeblich von einem Unternehmen wie Deutsche Post oder Amazon kommt, und werden aufgefordert, Lieferdetails zu bestätigen. Der Link führt auf eine gefälschte Website, die personenbezogene Daten sammelt, die die Betrüger dann für Identitätsdiebstahl oder nicht autorisierte Kreditkartenabbuchungen verwenden können.

Gefälschte Sicherheitswarnungen

Die Betrüger senden gespoofte SMS mit gefälschten Warnungen, dass Ihr Passwort aktualisiert oder eine größere Amazon-Bestellung aufgegeben wurde oder dass Änderungen an einem Online-Konto vorgegeben wurden. Die Nachricht enthält einen schädlichen Link, über den entweder Malware auf Ihrem Gerät installiert wird oder Kreditkartendaten oder personenbezogene Daten von Ihnen angefordert werden.

Ungebetene Massennachrichten

Betrüger senden oft gespoofte Nachrichten im Massenverfahren an zahlreiche Empfänger. Diese Nachrichten sehen wahrscheinlich wie Spam aus, aber wenn sie an genügend Benutzer gesendet werden, beißen garantiert einige an. In solchen gespooften SMS wird oft behauptet, dass Sie der glückliche Gewinner von Geschenken oder Verlosungen sind. Vielleicht enthalten sie auch ein Stellenangebot, das viel Geld für wenig Arbeit verspricht.

Gefälschte Geldüberweisungen

Betrüger versuchen Sie mit SMS-Spoofing dazu zu bringen, ihnen Geld zu senden. In den Nachrichten behaupten sie oft, Ihnen Geld überwiesen zu haben. Sie werden dann aufgefordert, auf einen schädlichen Link zu klicken, um die Transaktion abzuschließen oder personenbezogene Daten anzugeben.

Der Betrüger könnte auch behaupten, über PayPal versehentlich Geld auf Ihr Konto überwiesen zu haben. Er wird dann höflich darum bitten, das Geld "zurückzusenden", oft auf ein anderes Konto. Was Sie nicht wissen: Die "versehentliche" Originalzahlung wird durch die App storniert, d. h., Sie verlieren sowohl diesen Betrag als auch das "zurückerstattete" Geld.

Liebesbetrug

Gespoofte SMS werden auch für Liebesbetrug wie Catfishing eingesetzt. Die Angreifer gewinnen das Vertrauen ihrer Opfer, indem sie an ihre Gefühle appellieren. Sie manipulieren die Opfer über einen langen Zeitraum und bitten dabei oft um regelmäßige Zahlungen.

Industriespionage

Gespoofte Nachrichten können an die Mobiltelefone von Firmenmitarbeitern gesendet werden. Dadurch wollen die Angreifer meist wertvolle vertrauliche Daten stehlen. Hacker versuchen oft, einen als Spyware bezeichneten Typ von Malware auf den Mobiltelefonen der Opfer zu installieren, um sich Zugriff auf E-Mail-Adressen, Passwörter, Dokumente und andere Unternehmensinformationen zu verschaffen.

In sogenannten Whaling-Angriffen werden sogar Führungskräfte ins Visier genommen. Führungskräfte fallen sogar mit größerer Wahrscheinlichkeit Spoofing-Angriffen zum Opfer als ihre Mitarbeiter.

Belästigung

In manchen Fällen belästigen Angreifer aus ihre Opfer aus persönlichen Gründen mit gespooften SMS. Stalker, Mobber und praktisch jeder, der einen Groll hegt, kann sich Spoofing zunutze machen. Sie wollen oft ihre Opfer einschüchtern oder Ihnen Angst machen, um ihnen dann ihren Willen aufzuzwingen.

Können andere SMS-Nachrichten unter meiner Nummer senden?

Ja, es ist möglich, dass andere Ihre Nummer verwenden, um gespoofte SMS-Nachrichten zu senden. Um sich Zugriff zu verschaffen, können Hacker einen SIM-Swap-Betrug inszenieren, Ihr Mobiltelefon mit Malware infizieren oder eine Spoofing-App verwenden. Dann können sie SMS versenden und sich dabei als Sie ausgeben.

Betrüger gehen normalerweise dann so vor, wenn sie ihre Opfer von einer lokalen Telefonnummer aus erreichen wollen. Vielleicht hat der Betrüger es auch auf jemanden abgesehen, den Sie kennen, und versucht, diese Person hinters Licht zu führen.

Wie finde ich heraus, ob meine Nummer gespooft wurde?

Wenn Ihre Nummer gespooft wurde, erhalten Sie möglicherweise Nachrichten oder Anrufe von Fremden, die Sie fragen, wer Sie sind. Oder Sie erhalten SMS-Antworten auf eine Konversation, an der Sie nicht teilgenommen haben.

Auswirkungen von SMS-Spoofing

Böswilliges SMS-Spoofing kann erhebliche Schäden für Einzelpersonen, Unternehmen und die weitere Wirtschaft verursachen. Die Folgen von Mobilgeräte-Scams sind nicht auf finanzielle Verluste beschränkt. Die Betroffenen können ihren Arbeitsplatz und ihren guten Ruf verlieren und müssen möglicherweise viel Zeit aufwenden, um den Schaden zu beheben.

Hier sind nur einige der Konsequenzen von SMS-Spoofing:

• Finanzielle Verluste: Die meisten Betrüger haben es auf Ihr Geld abgesehen. Sie fordern vielleicht eine direkte Zahlung, stehlen Ihre Identität oder greifen auf Ihre Konten zu: In jedem Fall versuchen sie, so viel wie nur möglich abzugreifen.
• Störungen geschäftlicher Abläufe: Gespoofte Nachrichten können geschäftliche Rückschläge zur Folge haben, etwa wenn Websites abstürzen, Lieferketten unterbrochen oder Sicherheitsvorkehrungen verletzt werden.
• Rufschädigung: Sowohl Unternehmen als auch Privatpersonen werden womöglich für die Taten der Hacker beschuldigt, die sie gespooft haben. Kunden können zu dem Schluss kommen, dass ein Unternehmen nachlässig mit Cybersicherheit und Datenschutz umgeht.
• Juristische Haftung: Opfer von SMS-Spoofing müssen sich möglicherweise mit rechtlichen Folgen auseinandersetzen, insbesondere, wenn ihre persönlichen Daten oder Geräte dazu verwendet werden, andere zu schädigen oder unbefugte Transaktionen durchzuführen.

Tipps zur Abwehr von SMS-Spoofing

Der durchschnittliche Benutzer erhält jeden Monat Dutzende von Spam-SMS, und jede davon könnte ein Spoofing-Angriff sein. Aber nur weil Sie gefälschte SMS erhalten, müssen Sie noch lange nicht zum Opfer werden. Es kann schwierig sein, sich gegen Cyberkriminalität zu verteidigen, aber es ist möglich.

Die folgenden Tipps können Ihnen helfen, sich vor SMS-Spoofing zu schützen:

• Unbekannte Nummern blockieren: Wenn Sie Spam oder zufällige SMS von unbekannten Nummern erhalten, blockieren Sie diese. Danach können die Benutzer hinter diesen Nummern Ihnen keinen Spam mehr senden.
• Möglichst nicht auf SMS-Links klicken: Seien Sie äußerst vorsichtig, wenn es darum geht, auf Links in SMS zu klicken – auch dann, wenn Sie glauben, den Absender zu kennen. Wenn es unbedingt nötig ist, auf einen Link zu klicken, kontaktieren Sie den Absender über einen anderen Messaging-Dienst, um zu prüfen, ob er ihn wirklich gesendet hat.
• Vorsicht bei SMS wegen Passwortrücksetzungen: Reagieren Sie nicht auf unaufgeforderte SMS-Anforderungen zum Zurücksetzen Ihres Passworts. Banken und andere Unternehmen fordern Sie dazu niemals per SMS auf.
• Keine personenbezogenen Daten preisgeben: Die meisten Organisationen fordern Sie nicht per SMS auf, personenbezogene Daten oder Passwörter anzugeben. Vergessen Sie nicht, dass auch kleine, scheinbar unwichtige Details sich ansammeln können – und vielleicht genau das letzte Stück sind, das der Betrüger für sein Vorhaben braucht.
• Spam-Filter aktivieren: Aktivieren Sie die Spam-Filter Ihres Mobiltelefons, oder installieren Sie eine Spam-Blocker-App, um Spam-SMS abzuwehren.
• Nicht sofort antworten: Wenn Sie in einer SMS dazu gedrängt werden, etwas sofort zu tun, betrachten Sie das als Warnsignal. Bevor Sie irgendetwas tun, überzeugen Sie sich, dass es sich um eine legitime SMS handelt, indem Sie die auf der Website des Absenders angegebene offizielle Nummer anrufen.
• Software aktualisieren: Halten Sie das Betriebssystem und die Apps auf Ihrem Mobiltelefon stets auf dem neuesten Stand, um Sicherheitslücken zu schließen und Risiken zu minimieren.
• Cybersicherheitssoftware installieren: Zuverlässige Antivirus-Software wieNorton 360 for Mobile trägt zum Schutz Ihres Mobiltelefons vor Bedrohungen bei und bietet Schutz, wenn Sie versehentlich auf einen schädlichen Link klicken.

Mehr Online-Sicherheit durch umfassende Cybersicherheit

Die oben genannte Tipps können Ihnen helfen, nicht auf Betrugsmaschen mit SMS-Spoofing hereinzufallen. Aber Wachsamkeit und ständiges Überwachung Ihrer Nachricht sind zuweilen schwierig, insbesondere wenn Sie unter Zeitdruck stehen. Hier kann Ihnen eine zuverlässige Online-Sicherheitssoftware weiterhelfen.

Norton 360 for Mobile ist eine leistungsstarke Suite mit Sicherheitstools eigens zum Schutz vor schädlichen Links, unsicheren Websites und anderen digitalen Bedrohungen, die sich in gespooften SMS verbergen können. Installieren Sie Norton 360 for Mobile, um Ihr Mobiltelefon, Ihre Identität und Ihr digitales Leben wirksamer zu schützen.