Voice-Phishing durch Call-ID-Spoofing

Call-ID-Spoofing, auch bekannt als Rufnummern-Spoofing, ist die absichtliche Fälschung der Anrufer-ID, die auf dem Telefon des Empfängers angezeigt wird. Das Ziel ist es, die wahre Identität des Anrufers zu verschleiern und den Anschein zu erwecken, der Anruf stamme von einer vertrauenswürdigen oder bekannten Quelle. Dies kann eine lokale Telefonnummer sein, die Nummer Deiner Bank, einer Behörde oder sogar die Nummer eines Freundes oder Familienmitglieds.

Die Funktionsweise des Call-ID-Spoofings basiert auf der Flexibilität der modernen VoIP-Technologie. Im Gegensatz zu traditionellen Telefonnetzen, bei denen die Rufnummer fest mit einer physischen Leitung verbunden ist, werden bei VoIP-Anrufen die Informationen über das Internet übertragen. Dies ermöglicht es Anrufern, die angezeigte Rufnummer (Caller ID) und den Namen (Caller Name) manuell zu konfigurieren, bevor der Anruf getätigt wird. Angreifer nutzen spezielle Software oder Dienste, die es ihnen erlauben, beliebige Rufnummern als Absender-ID einzustellen. Diese manipulierten Daten werden dann über das VoIP-Netzwerk gesendet. Da die meisten VoIP-Systeme keine robusten Mechanismen zur Überprüfung der Authentizität der übermittelten Anrufer-ID besitzen, wird die gefälschte Information an den Empfänger weitergeleitet, der sie auf seinem Display sieht.

Ein erschreckender Aspekt des Call-ID-Spoofings ist die geringe technische Hürde. Du benötigst keine tiefgreifenden Programmier- oder Netzwerkkenntnisse, um eine Rufnummer zu fälschen. Viele VoIP-Anbieter und Online-Dienste bieten Funktionen an, die es Nutzern ermöglichen, ihre ausgehende Rufnummer zu ändern – oft mit nur wenigen Klicks in einem Web-Interface. Kriminelle missbrauchen diese Funktionen, um ihre wahre Identität zu verschleiern und ihre Betrugsmaschen zu perfektionieren. Die fehlende Überprüfung der tatsächlichen Besitzverhältnisse der angezeigten Rufnummer macht es für Betrüger leicht, sich als jemand anderes auszugeben.

Nicht jeder Spoofing-Versuch verfolgt das gleiche Ziel – doch alle haben eins gemeinsam: Sie täuschen dich über die wahre Identität des Anrufers. Hier sind die drei häufigsten und gefährlichsten Varianten:

1. Tarnung durch eine zufällige Nummer
Der Anrufer verwendet eine zufällige, nicht rückverfolgbare Nummer, um seine Identität zu verschleiern. Ziel ist es, unerkannt zu bleiben – oft bei Robocalls, Werbeanrufen oder klassischen Betrugsversuchen.

2. Vertrauen durch bekannte Nummern
Hier wird es besonders perfide: Die Täter fälschen eine Nummer, die du kennst und der du vertraust – etwa deine Bank, den IT-Support oder sogar Familienangehörige. Dein Smartphone zeigt den gespeicherten Namen an, und genau das nutzt der Betrüger gezielt aus, um dich zur Herausgabe sensibler Daten zu bewegen.

3. Missbrauch deiner eigenen Nummer
In diesem Fall wird deine Telefonnummer als Absender angezeigt, während der Betrüger andere Personen anruft – etwa in deinem Namen Schadsoftware verteilt oder falsche Informationen verbreitet. Die Folge: Du bekommst Rückrufe, wirst beschuldigt oder gerätst selbst ins Visier – obwohl du gar nichts getan hast.

Stell dir vor, du arbeitest in einem Unternehmen mit 100 oder 200 Mitarbeitern, wo nicht jeder jeden persönlich kennt. Über Plattformen wie LinkedIn sind neue Mitarbeitende, ihre Positionen und manchmal sogar ihre direkten Durchwahlen leicht herauszufinden. Und nun ruft jemand mit einer gefälschten Absendernummer an – zum Beispiel der des Geschäftsführers oder der IT-Abteilung. Wie schnell würdest du dich täuschen lassen? Wie schnell würde ein neuer Kollege sensible Informationen preisgeben, weil er glaubt, mit einer vertrauenswürdigen Person zu sprechen? Vermutlich sehr schnell. Dies macht Call-ID-Spoofing zu einer ernsthaften Bedrohung für die digitale Sicherheit, sowohl für dich persönlich als auch für dein Unternehmen.

Die Auswirkungen können verheerend sein, sowohl für dich persönlich als auch für Unternehmen. Die Hauptgefahr liegt in der Täuschung und dem Aufbau von Vertrauen, das dann für betrügerische Zwecke missbraucht wird:

• Phishing und Social Engineering: 
  Spoofing ist ein zentrales Werkzeug für Phishing-Angriffe per Telefon (Vishing). Betrüger geben sich als Bankmitarbeiter, Support-Techniker, Mitarbeiter von Behörden (z.B. Finanzamt, Polizei) oder sogar als nahestehende Personen aus. Durch die Anzeige einer bekannten oder vertrauenswürdigen Nummer wirst du dazu verleitet, sensible Informationen preiszugeben, wie Passwörter, Kreditkartendaten, Sozialversicherungsnummern oder andere persönliche Daten. Diese Informationen werden dann für Identitätsdiebstahl oder direkten finanziellen Betrug genutzt.
• Finanzielle Verluste: 
  Direkt im Anschluss an Vishing-Angriffe können erhebliche finanzielle Verluste entstehen. Opfer werden oft dazu gebracht, Geld zu überweisen, gefälschte Rechnungen zu bezahlen oder den Zugriff auf ihre Online-Banking-Konten zu ermöglichen. Auch der Kauf von Gutscheinkarten unter Vorspiegelung falscher Tatsachen ist eine gängige Methode.
• Reputationsschäden: 
  Wenn deine eigene Rufnummer von Betrügern gespooft wird, kann dies zu erheblichen Reputationsschäden führen. Unschuldige Personen oder Unternehmen werden dann von wütenden oder verängstigten Opfern kontaktiert, die glauben, von dieser Nummer betrogen worden zu sein. Dies kann zu einem Vertrauensverlust bei Kunden und Geschäftspartnern führen und erfordert oft aufwendige Erklärungen und Richtigstellungen.
• Malware-Infektionen und Datenverlust: 
  In einigen Fällen versuchen Betrüger, Opfer dazu zu bringen, schädliche Software herunterzuladen oder Fernzugriff auf ihre Computer zu gewähren. Dies kann zu Malware-Infektionen, Ransomware-Angriffen und dem Diebstahl weiterer sensibler Daten führen.
• Erhöhtes Risiko für weitere Angriffe: 
  Ein erfolgreicher Spoofing-Angriff kann die Tür für weitere Cyberbedrohungen öffnen. Einmal kompromittierte Daten können in Darknet-Märkten verkauft und für zukünftige, gezieltere Angriffe genutzt werden.
• Rechtliche Konsequenzen: 
  In extremen Fällen können Opfer, deren Nummern gespooft wurden, in rechtliche Schwierigkeiten geraten, wenn ihre Identität für illegale Aktivitäten missbraucht wird. Dies kann die Zusammenarbeit mit Strafverfolgungsbehörden erforderlich machen und zu langwierigen Prozessen führen.

Die Einfachheit, mit der Call-ID-Spoofing durchgeführt werden kann, macht es zu einem mächtigen Werkzeug in den Händen von Kriminellen. Es ist daher unerlässlich, sich der Risiken bewusst zu sein und proaktive Schutzmaßnahmen zu ergreifen.

Wenn Call-ID-Spoofing so gefährlich ist: Warum unterbinden Telefongesellschaften diese Manipulation der Absendernummer nicht einfach? Die Antwort liegt in der ursprünglichen Idee hinter dem Call-ID-Spoofing: Es war nie als Betrugsmethode gedacht – sondern als praktisches Werkzeug im geschäftlichen Umfeld.

Unternehmen nutzen Call-ID-Spoofing seit vielen Jahren, etwa um bei ausgehenden Anrufen immer die zentrale Unternehmensnummer anzuzeigen – egal, von welchem Gerät oder Standort aus angerufen wird. Auch Callcenter, externe Dienstleister oder medizinisches Personal greifen aus legitimen Gründen darauf zurück – zum Beispiel, um Privatnummern zu schützen oder eine einheitliche Außenwirkung zu erzielen.

Spoofing ist also nicht per se illegal. Erst wenn eine betrügerische oder schädliche Absicht dahintersteht – etwa zur Täuschung oder zum Identitätsdiebstahl – wird es strafrechtlich relevant. Mit der massenhaften Verbreitung von VoIP-Diensten ist es jedoch technisch extrem einfach geworden, beliebige Nummern einzutragen und wird dadurch heute zum Problem.

Obwohl Call-ID-Spoofing eine ernsthafte Bedrohung darstellt, gibt es effektive Maßnahmen, mit denen du dich und deine Daten schützen kannst. Hier sind die Top 5 Tipps, um dich vor dieser Art von Betrug zu wappnen:

1. Sei skeptisch bei unerwarteten Anrufen: 
Das ist die wichtigste Regel. Auch wenn die angezeigte Nummer vertrauenswürdig erscheint (z.B. deine Bank, eine Behörde oder ein bekannter Kontakt), sei vorsichtig, insbesondere wenn der Anrufer nach sensiblen Informationen fragt oder dich zu sofortigen Handlungen drängt. Banken und Behörden werden dich niemals am Telefon nach Passwörtern oder TANs fragen. Leg im Zweifelsfall auf und ruf die Organisation über eine dir bekannte, offizielle Rufnummer zurück (nicht die Nummer, die der Anrufer dir gegeben hat!).

2. Verifiziere die Identität des Anrufers: 
Wenn du unsicher bist, ob ein Anruf legitim ist, bitte den Anrufer um seinen Namen und seine Abteilung. Sag, dass du ihn zurückrufen wirst. Such dann die offizielle Telefonnummer der Organisation (z.B. auf deren offizieller Website oder in Deinen Unterlagen) und ruf dort an. Erwähne den Anruf, den du gerade erhalten hast, und frag, ob dieser legitim war. Dies ist der sicherste Weg, um Betrug zu vermeiden.

3. Warne deine Kolleginnen und Kollegen:
Wenn du einen verdächtigen Anruf bekommst oder beinahe auf einen Trick hereingefallen wärst, teile deine Erfahrung im Team. Cyberkriminelle kontaktieren oft mehrere Personen im selben Unternehmen. Indem du andere warnst, schützt du nicht nur dich, sondern auch deine Organisation.

4. Schütze dich vor Phishing im Allgemeinen: 
Call-ID-Spoofing ist oft Teil einer größeren Phishing-Strategie. Informiere Dich über die verschiedenen Formen von Phishing (E-Mail, SMS, Telefon) und lerne, verdächtige Nachrichten und Anrufe zu erkennen. Unser Onlinekurs "Phishing erkennen und abwehren" in der NOVICADEMY bietet Dir das notwendige Wissen und praktische Tipps, um Dich und Deine Daten umfassend zu schützen.

5. Nutze Anrufblockierungs-Apps und -Dienste: 
Viele Smartphone-Betriebssysteme und Mobilfunkanbieter bieten Funktionen oder Apps an, die bekannte Spam- und Betrugsnummern blockieren oder als solche kennzeichnen können. Auch wenn diese nicht alle Spoofing-Versuche abfangen können, reduzieren sie die Anzahl unerwünschter Anrufe erheblich. Melde verdächtige Anrufe auch den zuständigen Behörden, um zur Bekämpfung dieser Kriminalität beizutragen.

Call-ID-Spoofing ist eine weit verbreitete und gefährliche Betrugsmasche, die durch die einfache Manipulierbarkeit von Rufnummern in VoIP-Netzwerken begünstigt wird. Die Tatsache, dass man keine speziellen Hacking-Kenntnisse benötigt, um die Absendernummer zu ändern, macht diese Methode für Kriminelle besonders attraktiv. Die Risiken reichen von finanziellen Verlusten über Identitätsdiebstahl bis hin zu Reputationsschäden.

Doch mit dem richtigen Wissen und einer gesunden Skepsis kannst du dich effektiv schützen. Sei stets misstrauisch bei unerwarteten Anrufen und verifiziere die Identität des Anrufers über offizielle Kanäle. Investiere in deine digitale Sicherheit, indem du dich kontinuierlich über aktuelle Bedrohungen informierst und präventive Maßnahmen ergreifst. Die Kurse der NOVICADEMY, insbesondere "Phishing erkennen und abwehren" und "Schutz vor MFA-Phishing", bieten dir hierfür eine hervorragende Grundlage und praktische Anleitungen, um deine Abwehrkräfte gegen diese modernen Betrugsversuche zu stärken. Bleib wachsam und schütze deine digitale Identität.