Bundesamt für Sicherheit in der Informationstechnik

G 5.192 Vortäuschen falscher Anrufer-Telefonnummern oder SMS-Absender

Derzeit kann mit relativ geringem Aufwand einem Angerufenen eine falsche Telefonnummer des Anrufers (Caller-ID-Spoofing) bzw. des SMS -Absenders (SMS-ID-Spoofing) vorgetäuscht werden. Angreifer können so einem Mitarbeiter auf Dienstreise einen Anruf aus der eigenen Institution oder eines Kunden vortäuschen, um an vertrauliche Informationen zu gelangen. Auch einer Kurzmitteilung eines bekannten Absenders wird eher vertraut und ein eventueller Anhang mit Schadsoftware leichtfertiger geöffnet.

Beispiele:

  • Für das iPhone gibt es seit einiger Zeit eine SpoofApp, mit der Anrufer die Rufnummer, die den Angerufenen angezeigt wird, frei wählen können. So erhält der Mitarbeiter auf Dienstreise beispielsweise einen Anruf vom vermeintlichen Prokuristen seiner Firma, der schnell die Höhe eines gerade abgegebenen Angebots wissen möchte. Er gibt die Zahlen heraus und der Angreifer verkauft die Informationen an einen Konkurrenten, der den Preis unterbietet.
  • Beim SMS -Spoofing ist es möglich, statt der Rufnummer einen Namen beim Empfänger anzeigen zu lassen. So kann ein Angreifer beispielsweise verhindern, dass der Chef eines großen Unternehmens zu einer wichtigen Besprechung reist. Dafür muss er nur eine SMS von der Fluggesellschaft des Chefs vortäuschen, dass der Flug gestrichen sei.

Stand: 14. EL Stand 2014