SMS-Spoofing erklärt: So verhindern Sie Betrug

Auf einen Betrug hereinzufallen kann jedem passieren. SMS-Spoofing ist eines der vielen Cybersicherheitsprobleme, über die Unternehmen und Einzelpersonen Bescheid wissen sollten, um nicht das nächste Opfer zu werden.

Wenn Sie die Warnzeichen eines SMS-Spoofs übersehen, kann das weitreichende Folgen haben: Ein Spoofing-Angriff ist nicht nur unangenehm, sondern kann auch mit Identitätsdiebstahl, Ransomware und großen finanziellen Verlusten einhergehen. Vielleicht sind sogar Sie selbst unabsichtlich die Person im Unternehmen, die die Tür für einen weitreichenden Angriff auf Ihr Unternehmen (und seine Kunden) öffnet.

Spoofing kann Sie auch zu einem unwissenden Teilnehmer an einem Botnetz machen, das Betrüger für weitere Angriffe nutzen können, um anderen ohne Ihr Wissen Schaden zuzufügen.

Wenn Sie auf die Gefahren von SMS-Spoofing achten, tragen Sie nicht nur zum Schutz Ihrer persönlichen Daten bei, sondern unterstützen auch die allgemeinen Bemühungen um die Cybersicherheit. Nehmen wir uns einen Moment Zeit, um zu verstehen, was SMS-Spoofing ist und wie man es verhindern kann.

Spoofing ist nicht auf SMS beschränkt. Es kann auch per E-Mail, über soziale Medien und sogar über gefälschte Online-Anzeigen geschehen. Dieser weiter gefasste Begriff des Spoofing beschreibt Situationen, in denen sich ein Cyberbetrüger als vertrauenswürdige Person oder Institution ausgibt, um Endbenutzer dazu zu bringen, etwas zu tun, was dem Hacker zunutze kommt, etwa auf einen Link klicken, eine Datei herunterladen oder einen Anhang öffnen.

Beim SMS-Spoofing wird die Absender-ID einer Textnachricht manipuliert. Dabei kann es sich um eine unbekannte oder sogar um eine bekannte Nummer handeln. Betrüger betten häufig Links in diese gefälschten SMS-Nachrichten ein und fordern die Empfänger auf, für ein „Sonderangebot“ oder eine „dringende Mitteilung“ zu klicken. Häufig wird auch eine Versandbestätigung oder eine wichtige Nachricht über eine Bestellung als Thema gewählt. Schließlich ist die Chance hoch, dass Sie gerade wirklich auf ein Päckchen warten. Hier einige Beispiele vom Landeskriminalamt Niedersachsen, bei denen verschiedene Fake-SMS gezeigt werden.

Wenn Sie darauf hereinfallen, geben Sie den Betrügern möglicherweise Zugang zu wertvollen persönlichen Informationen oder laden Malware auf Ihr Gerät herunter, die später Probleme verursacht.

Spoofing, bei dem der angezeigte Name des Absenders geändert wird, und SMS-Phishing (oder „Smishing“), bei dem ein Betrüger überzeugende Taktiken einsetzt, um Menschen dazu zu bringen, auf Links zu klicken oder zu antworten, gehen oft Hand in Hand. Oftmals fälschen Betrüger vertrauenswürdige Marken oder Nummern und verwenden dann Smishing-Taktiken, um ihre Nachricht verlockender und glaubwürdiger zu gestalten.

Erfahren Sie mehr über SMS-Smishing und wie Sie es verhindern können.

Bei einem Spoofing-Angriff verbirgt der Angreifer die wahre Identität der Person, die hinter einer Handlung steckt. Beim SMS-Spoofing findet der Betrüger einen Weg, den Anschein zu erwecken, dass seine Textnachricht von einer anderen Nummer oder Absender-ID stammt – oft von einem echten Unternehmen oder einer Ihnen bekannten Person, deren Gerät bereits kompromittiert wurde.

Die gefälschte SMS kann vom Mobiltelefon eines anderen Opfers kommen oder den Anschein erwecken, von einer anderen Person oder Organisation zu stammen.

Wenn die Person, die die SMS erhält, der Identität des Absenders vertraut, öffnet sie mit größerer Wahrscheinlichkeit die Nachricht und klickt auf den Link, den der Betrüger geschickt hat. Sobald sie das tut, hat sie vermutlich bereits sensible Informationen über sich selbst oder ihr Unternehmen preisgegeben.

Unternehmen sind auf verschiedene Weise durch SMS-Spoofing gefährdet. Das erste und am häufigsten thematisierte Risiko ist, dass Betrüger Zugang zu den Systemen und Kundendaten eines Unternehmens erlangen können, wenn ein Mitarbeiter auf einen bösartigen Link in einer gefälschten SMS klickt.

Dies kann dazu führen, dass Kunden betrogen werden, oder der Betrüger könnte seinen Zugang nutzen, um Viren einzuschleusen und die gesamte digitale Infrastruktur eines Unternehmens zum Absturz zu bringen. Ebenso kann der Angreifer Ransomware einschleusen und eine Zahlung dafür verlangen, dass das Unternehmen den Zugang zu seinen Daten wiedererlangt und die Kosten vermeidet, die entstehen, wenn der Angreifer die Daten veröffentlicht.

Oft nutzen Betrüger die Kontaktinformationen von Mitarbeitern und Kunden, um weitere SMS-Spoofs an Millionen anderer Personen zu senden und ihren potenziellen Opferkreis zu vergrößern. Dabei machen sie sich den guten Ruf der Marke und das Vertrauen in sie zunutze.

Dieses Vertrauen der Verbraucher können Unternehmen bei einem solchen Spoofing-Angriff verlieren. Dazu kommen der Aufwand und die Kosten für die Behebung interner Datenbankschäden und den Umgang mit den Folgen der Veröffentlichung geschützter oder vertraulicher Informationen über Mitarbeiter, Lieferanten oder Konkurrenten, was langfristige, sehr teure Probleme verursachen kann.

Neben den realen Kosten durch die verlorene Zeit und Geld für die Schadensbegrenzung kann natürlich auch der Ruf des Unternehmens einen schweren Schlag erleiden. Wenn Kunden entscheiden, dass sie es sicherer finden, bei einem anderen Unternehmen zu kaufen, sinken schnell die Verkaufsarten

Den folgenden Arten von SMS-Spoofing bzw. Phone-Spoofing könnten Sie auf Ihrem Smartphone begegnen.

Bei dieser gängigen Art von SMS-Spoofing wird eine vertrauenswürdige Absender-ID verwendet, um den tatsächlichen Absender zu verschleiern. In der Regel wird ein Unternehmen als vertrauenswürdiger Absender angezeigt, was die Wahrscheinlichkeit erhöht, dass das Opfer der Aufforderung folgt, etwas anzuklicken. Gefälschte Absender-IDs können auch als Personen aus Ihrer Kontaktliste angezeigt werden, etwa als die Nummer von einem Kollegen, wenn die Betrüger versuchen, in das Netzwerk Ihres Unternehmens einzudringen.

Beispiel: „Ihr Postbank-Girokonto könnte kompromittiert worden sein. Klicken Sie hier, um sofort Ihr Passwort zu ändern.“

Bei unerwünschten Nachrichten denken die meisten zunächst an Spam-E-Mails. Doch es gibt auch Spam-SMS, und diese Art von SMS-Spoofing-Angriff macht sich diese Tatsache zunutze. Dabei kann es sich um SMS zu einem beliebigen Thema handeln, die wie Werbe-SMS aussehen und in einigen Fällen unsinnig oder absurd erscheinen.

Oft enthalten SMS von einer gespooften Nummer auch Rechtschreibfehler. Nicht selten wird eine solche SMS an Millionen von Menschen versendet, doch die Betrüger sind bereits zufrieden, wenn nur eine Handvoll von ihnen auf den Link in der Nachricht klickt.

Beispiel: „Tolle Fotos von Prominenten bei Preisverleihungen. Klicken Sie hier, um mehr zu sehen.“

Belästigendes SMS-Spoofing kann viele Formen annehmen. Typischerweise erfolgt es, nachdem der Angreifer durch andere Cyberstraftaten bereits einige Ihrer Informationen erlangt hat.

Mit Ihren Kontaktinformationen und anderen Informationen über Ihr Privatleben kann er Ihnen nun mit einer peinlichen Bloßstellung oder anderen Folgen drohen, wenn Sie kein Lösegeld zahlen. Oder er lügt und bringt Sie dazu, Geld für einen vorgeschobenen Zweck zu schicken.

Beispiel: „Ihr Freund steckt in rechtlichen Schwierigkeiten und sammelt Geld für seine Verteidigung. Bitte schicken Sie Geld, um zu helfen.“

Diese Art von SMS-Spoofing zielt auf Mitarbeiter in meist größeren Unternehmen ab, die möglicherweise über wertvolle Kundendaten verfügen oder die Mittel haben, ein hohes Lösegeld zu zahlen, wenn die Betrüger die Kontrolle über die Unternehmensdaten erlangen können.

Wenn Sie auf Links in solchen Nachrichten klicken, merken Sie in der Regel noch nicht, dass etwas Schlimmes passiert ist, da die Hacker Malware von Ihrem Gerät auf andere Geräte innerhalb des Unternehmens übertragen. Sie werden zum „vertrauenswürdigen Absender“, mit dem Ihre Mitarbeiter in die Irre geführt werden.

Beispiel: „Unser System wurde aktualisiert. Bitte klicken Sie hier, um Ihr Passwort zurückzusetzen.“

In diesem Fall verspricht der Betrüger Geld, das angeblich auf das Konto des Opfers überwiesen werden soll. Dabei ist der Name des Absenders oft der einer Bank, von PayPal oder einem anderen bekannten Finanzinstitut oder -dienst und die Nachricht ähnelt einer üblichen Transaktions-SMS.

Ziel des SMS-Spoofers ist es, Zugang zu Ihren Kontoinformationen zu erhalten. Die Nachricht kann sich auf eine Cashback-Transaktion beziehen, die nie stattgefunden hat, gefälschte Preisgewinne oder Rückerstattungen, angebliche rechtliche Ausgleiche und Ähnliches mehr.

Beispiel: „Ihnen wurde bei Ihrem letzten Einkauf zu viel berechnet. Bitte beantragen Sie Ihre Erstattung, indem Sie auf diesen Link klicken.“

Betrüger wollen alle persönlichen Informationen über Sie, die sie bekommen können, etwa medizinische Daten, Kontoinformationen, Passwörter, Sozialversicherungsnummern, Kreditkartennummern, Telefonnummern und mehr.

Mit diesen Daten können sie sich als Sie ausgeben und auf diesem Weg Geld stehlen, indem sie Sie für sich bezahlen lassen. Mit Spoof-SMS lassen sich diese Informationen auf verschiedene Weise sammeln.

Beispiel: „Ihre Krankenversicherung muss erneuert werden. Klicken Sie hier, um Ihr Konto zu aktualisieren.“

Diese Arten von Spoofing können sowoh im eigenen Land als auch dann geschehen, wenn Sie auf einer Auslandsreise sind: In diesem Fall können Betrüger die International Mobile Subscriber Identity (IMSI) verwenden und Roaming-Gebühren ausnutzen, indem sie gefälschte SMS mit hohen Gebühren verschicken, sodass die Empfänger finanzielle Verluste erleiden, ohne es sofort zu merken.

Smishing, Phishing, Spoofing, Spamming – es gibt viele Möglichkeiten für Betrüger, Ihnen unter Ausnutzung digitaler Technologien Ärger zu bereiten. SMS- und Rufnummer-Spoofing ist nur eine davon. Sie unterscheidet sich jedoch in einigen wichtigen Punkten von den anderen.

Beim SMS-Spoofing lässt der Betrüger den Namen und die Telefonnummer des Absenders wie die einer Person oder eines Unternehmen aussehen, dem Sie vertrauen. Das macht es schwieriger, den Betrug zu erkennen, und Sie können dies nur, indem Sie den Inhalt der Nachricht genau unter die Lupe nehmen. Würde Ihr Freund, Verwandter oder Arbeitskollege Ihnen das wirklich schicken?

Bei SMS-Phishing-Angriffen (auch Smishing genannt) verfolgen die meisten Betrüger dasselbe Ziel: Sie wollen an Ihre sensiblen Daten gelangen und sie gegen Sie oder eine andere Person verwenden. Viele ihrer Methoden sind dabei die gleichen, etwa gefälschte Rechnungen, gefälschte Versandmitteilungen und viele der oben genannten Taktiken.

Doch Sie können andere Betrugsmethoden in der Regel daran erkennen, dass Absender-ID und Telefonnummer – oder die E-Mail-Adresse bei E-Mail-Betrug – bereits verdächtig wirken. Beim SMS-Spoofing kann es hingegen sein, dass Sie die Telefonnummer oder den Namen des Absenders kennen und ihnen vertrauen.

Sie müssen also besonders wachsam sein, um eine gefälschte Nachricht zu erkennen.

Was können Sie tun, um sich und andere davor zu schützen, Opfer eines SMS-Spoofs zu werden?

Zunächst muss Ihr Unternehmen seinen Mitarbeitern beibringen, wie sie die Warnzeichen einer gefälschten SMS erkennen können. Wenn Sie allen Personen in Ihrem Einflussbereich genau erklären, was passieren könnte, sind sie besser auf diesen Fall vorbereitet und können eine gespoofte Nummer erkennen und die SMS löschen. Hier sind die wichtigsten Anzeichen dafür, dass es sich um eine gefälschte SMS handelt:

• Verdächtige Formulierungen. Würde Ihr Freund, Ihr Kollege oder Ihr Unternehmen etwas so formulieren? Würden sie das sagen?
• Unbekannte Nummern. Wird im Text eine Kontonummer oder etwas Ähnliches genannt, das Sie erkennen sollten? Wenn die Nummer seltsam oder falsch aussehen, müssen Sie sich einen Moment Zeit nehmen, um ihre Rechtmäßigkeit zu prüfen.
• Rechtschreib- und Grammatikfehler. Es ist allgemein bekannt, dass die meisten Betrüger nicht sehr gut schreiben können und dies oft ein verräterisches Zeichen für gefälschte SMS ist.
• Seltsame Hyperlinks. Sehen die Links des Unternehmens normalerweise so aus? Ist die Formatierung ungewöhnlich?
• Verunsichernde Anfragen. Jede SMS, in der um Geld oder Kontoinformationen gebeten wird, sollte mit Misstrauen behandelt werden: Banken und andere Unternehmen stellen solche Anfragen niemals.
• Falsches Gefühl der Dringlichkeit. Überlegen Sie, ob die Person, die Ihnen eine SMS schickt, in der Regel in dringenden Fällen per SMS um sofortiges Handeln bitten würde, oder ob sie Sie eher direkt anrufen würde.
• Alles, was zu schön klingt, um wahr zu sein. Unverhofftes Glück passiert nicht oft. Vertrauen Sie ihm daher nicht zu schnell.

Das Wichtigste ist: Wenn Sie eine verdächtige SMS erhalten, halten Sie inne, denken Sie nach und prüfen Sie sie, bevor Sie handeln. Betrüger verlassen sich darauf, dass Sie die Warnzeichen nicht erkennen. Wenn die Nachricht also verdächtig aussieht, klicken Sie nicht auf Links und antworten Sie nicht. Wenn die SMS angeblich von Ihrem Unternehmen oder einem Mitarbeiter stammt, zeigen Sie sie einem Vorgesetzten oder fragen Sie bei der Person nach, die sie angeblich geschickt hat. Wenn sie von einem Verwandten oder Freund kommt, rufen Sie ihn an, um es zu bestätigen.

Für ein Unternehmen ist es wichtig, durchgehend verlässlich zu handeln. Kommunizieren Sie klar und deutlich, auf welche Weise Ihr Unternehmen niemals vorgehen wird, etwa dass es nie unaufgefordert Links zum Zurücksetzen von Passwörtern sendet oder Kontoinformationen per SMS anfordert. So fördern Sie ein einheitliches Handeln Ihrer Angestellten und stärken das Vertrauen Ihrer Kundschaft, die erwartet, dass Ihr Unternehmen für Sicherheit und Integrität sorgt.

Gleichzeitig muss Ihr Unternehmen wachsam bleiben und proaktiv gegen potenzielle SMS-Spoofing-Bedrohungen vorgehen. Da SMS-Spoofing auf größere Sicherheitslücken oder Sicherheitsvorfälle hindeuten kann, sollten Sie verdächtige Aktivitäten umgehend untersuchen und geeignete Maßnahmen zur Risikominderung ergreifen, gegebenenfalls in Zusammenarbeit mit Strafverfolgungsbehörden oder Cybersecurity-Experten.

Zusammengefasst gilt also: Ihr Unternehmen muss Aufklärung, einheitliches Handeln und proaktive Maßnahmen zur Priorität machen, um seine Widerstandsfähigkeit gegen SMS-Spoofing und andere Cyberbedrohungen zu verbessern und Vertrauen in seine Prozesse aufzubauen.

Achten Sie als Unternehmen darauf, dass Ihre Abonnenten leicht erkennen können, ob SMS von Ihnen stammen.

Hier sind einige Strategien, um dies zu erreichen:

• Halten Sie Ihr Branding in all Ihren Nachrichten einheitlich.
• Geben Sie eindeutige Kontaktinformationen wie eine Telefonnummer, E-Mail-Adresse, Website oder „mit HILFE antworten“-Nachricht an, damit die Abonnenten Ihre Nachrichten überprüfen können.
• Teilen Sie den Abonnenten mit, wie sie sich von Ihrer SMS-Liste abmelden können.
• Erinnern Sie Ihre Kunden regelmäßig daran, dass Sie sie niemals per SMS nach persönlichen Daten fragen werden.
• Verwenden Sie SMS-Verifizierungsoptionen wie Zwei-Faktor-Authentifizierung und Einmalpasswörter.
• Bitten Sie Ihre Kunden, alle verdächtigen Nachrichten zu melden.
• Informieren Sie Ihre Kunden im Vereinigten Königreich und den USA darüber, dass sie verdächtige Nachrichten an die Kurzwahl 7726 weiterleiten können.
• Vergewissern Sie sich, dass Ihr SMS-Service-Provider Spoofing ernst nimmt und daran arbeitet, Call-ID-Spoofing zu verhindern und problematische Nachrichten zu blockieren.
• Überprüfen Sie die externen Referenzen Ihres Anbieters als Nachweis für seine Bemühungen rund um die Betrugsbekämpfung, z. B. ob er dem SMS Protection Registry angehört.
• Verwenden Sie eine SMS-API für eine reibungslosere Integration und mehr Sicherheit.

Beim Thema SMS-Spoofing sitzen alle in einem Boot – Angestellte, Unternehmen, Kunden, Freunde und Verwandte. Jeder kann zum Opfer werden, und jede Person, die über die Kontaktinformationen des Opfers verfügt, kann auf diesem Wege wiederum selbst das nächste Opfer werden.

Bleiben Sie informiert. Bleiben Sie wachsam. Und besprechen Sie dieses Thema mit allen Menschen, die Sie kennen – auch mit Ihren Kindern, wenn diese alt genug sind!

Wenn Sie auf der Suche nach externen Ressourcen zum Thema Betrug sind, finden Sie hier einige gute Anlaufstellen:

• Scam Watch: Wie man Betrug erkennt und vermeidet
• Beratung und Informationen dazu, wie Sie sich im Internet schützen können
• Informationen zu den Warnzeichen eines Identitätsdiebstahls
• Persönlicher Betrug und wie man ihn verhindern kann

Als führendes Unternehmen in unserem Sektor hat sich Sinch verpflichtet, die höchsten Standards für Transparenz, Verantwortlichkeit sowie Daten- und Verbraucherschutz einzuhalten. Alle Unternehmen, die Sinch nutzen, vertrauen darauf, dass wir die persönlichen Daten ihrer Kunden schützen. Um diese Erwartung erfüllen zu können, müssen wir innerhalb eines soliden Rechtsrahmens agieren, aktiv mit anderen in der Wertschöpfungskette zusammenarbeiten, um Best Practices zu fördern und zu unterstützen, und innovative Lösungen suchen, um Bedrohungen zu erkennen und zu verhindern.

Außerdem halten wir unsere Vertrauenskette so kurz wie möglich – mit über 600 direkten Betreiber-Verbindungen. Erfahren Sie mehr über unseren Kampf gegen Betrug per SMS und bleiben Sie informiert.