- Call ID Spoofing
-
Der Begriff Call ID Spoofing bezeichnet die Methode, mit der Anrufe unter einer für den Angerufenen vorgetäuschten rufenden Nummer geführt werden kann. Dabei wird bei einer Rufnummernanzeige des angerufenen Telefons anstatt der Originalrufnummer des Anrufers eine in der Regel frei wählbare Identifikationsinformationen angezeigt. Hierdurch wird es möglich die wahre Identität des Anrufers beim Angerufenen zu verschleiern um gegebenenfalls eine falsche Identität vorzutäuschen. Diese Möglichkeit besteht grundsätzlich in unregulierten Kommunikationsnetzen (z. B. Internet), ist aber in regulierten öffentlichen Netzen, ob VoIP- oder klassische Telekommunikations-Netze, die den jeweiligen Telekommunikationsgesetzen unterliegen (z. B. dem deutschen TKG) verboten, beziehungsweise durch eine Fülle von Einschränkungen unmöglich gemacht.
Inhaltsverzeichnis
Techniken und Funktionsweise
Seit der Einführung der Call ID gibt es auch Wege, diese zu manipulieren. Die am meisten verbreiteten Varianten basieren entweder auf Voice-over-IP-Techniken oder der Verwendung von ISDN-Anlagenanschlüssen (DDI). Eine starke Verbreitung fand die Technik erst mit Einführung der Internet-Telefonie via Voice over IP (VoIP). Zwar gibt es und gab es noch weitere Möglichkeiten, die Call ID zu verfälschen (z. B. Orange-Boxing oder VoiceXML), jedoch basiert die heute meistgenutzten und einfachsten Methoden auf VoIP.
Das Call-ID Spoofing bei ISDN Anlagenanschlüssen ist in der Regel nur in dem jeweiligen Rufnummernvolumen der TK-Anlage möglich, da die rufende Nummer immer in einem öffentlich regulierten Netz auf Zulässigkeit für diesen Anschluss überprüft wird (number screening). Darüber hinaus kann an ISDN-Anlagenanschlüssen das Leistungsmerkmal CLIP -no screening- geschaltet werden, welches es ermöglicht, dem angerufenen Teilnehmer eine x-beliebige Rufnummer (im Sinne von Spoofing) zu unterbreiten, da diese Rufnummer nicht von der Vermittlungsstelle auf ihre Richtigkeit überprüft wird. Zusätzlich zu dieser benutzerdefinierten Rufnummer (userprovided) wird die "echte" Rufnummer mitgesendet (networkprovided). Diese "echte" Rufnummer lässt sich jedoch nur mit speziellen Endgeräten auslesen.
Die Möglichkeit der Rufnummernanzeige beim gerufenen Teilnehmer, dem sogenannten CLIP, muss möglich sein, um wirksam werden zu können. Wird bei einem VoIP-Anruf über das Internet ein unreguliertes Kommunikationsnetz verwendet, besteht immer die Möglichkeit, die sogenannte Display-Information frei zu wählen und beim Anrufer anzeigen zu lassen. Diese Methode kann am einfachsten zur Manipulation genutzt werden, ohne die rufende Nummer verändern zu müssen. Soll auch die rufende Nummer verfälscht werden, sind weitergehende Änderungen der VoIP-Registrierung oder die Auswahl eines mehr oder weniger zweifelhaften VoIP-Anbieters nötig. Dabei wählt der Anrufer z. B. zuerst die Kundendienstnummer eines Anbieters für „Call ID Spoofing“. Dieser Dienst bietet dann die Möglichkeit zur Eingabe einer Nummer, die auf dem Bildschirm des VoIP-Telefons des Empfängers angezeigt werden soll. Der Anruf wird daraufhin über den Dienstanbieter weitergeleitet. Im Internet ist eine browserbasierte Art der Nutzung möglich, bei der nach einer Registrierung die gewünschte Nummer des Nutzers auf der Seite eingetragen wird, worauf die Weiterverbindung mit dem Empfänger erfolgt.
In regulierten öffentlichen Telekommunikationsnetzen ist dies auch an den Netzgrenzen (also z. B. für Anrufe aus dem Internet ins Festnetz) in der Regel nicht möglich, beziehungsweise durch die vor Ort geltenden Telekommunikationsgesetze unterbunden, die aus einer Fülle von Vorschriften für die Rufnummernanzeige resultieren (z. B. in Deutschland durch (§ 66j des TKG). Bekannt gewordenes Spoofing in regulierten öffentlichen Netzen basierte meistens auf der Nichtbeachtung der Telekommunikationsgesetze durch den jeweiligen Dienstanbieter und bestehen in der Regel nur kurze Zeit, da solche Fälle bei der der jeweiligen Regulierungsbehörde (in Deutschland die Bundesnetzagentur) angezeigt werden können.
Anwendungsgebiete
In den USA wurde die heftig umstrittene Technologie erstmals 2004 frei im Internet angeboten. Der Hacker Kevin Mitnick demonstrierte das Call ID Spoofing in der Art Bell Show, in dem er seine Rufidentifikation in die FBI-Hauptquartier-Nummer von Los Angeles abänderte. Da sich die Gefahr des Missbrauchs bestätigte, versucht die amerikanische Regierung mit dem Caller ID Act eine rechtliche Basis zur Einschränkung des Dienstes zu entwerfen. Bisher ist jedoch keine gesetzliche Regelung in Kraft getreten.
Ein breites Anwendungsgebiet für ein mögliches Call ID Spoofing ergibt sich für Journalisten, Detekteien, Rechtsanwälte und Inkassobüros, die die Technologie zu Ermittlungs- und Recherchezwecken nutzen könnten.
Call ID Spoofing ermöglicht jedoch auch telefonisches Phishing – nach folgendem Prinzip: Indem man sich mit einer falschen Identität (sog. Pretext-Calls) ausgibt, versucht man, sich vertrauliche Informationen (Passwörter etc.) zu beschaffen. Zunehmend treten auch Fälle von SPIT (Spam over Internet Telephony) auf, bei denen Werbeanrufe nicht zurückführbar sind. Früher konnte mit dieser Technik auch eine Mailbox-Abfrage von Unbefugten getätigt werden, die keine PIN-Eingabe erfordern. Ein populäres Beispiel dieser Art von Missbrauch wurde 2006 bekannt, als Paris Hilton sich mit Hilfe des Call-ID-Spoofing-Anbieters Spoofcard Zugang zur Mailbox ihrer Konkurrentin Lindsay Lohan verschaffte.
Provider
In Amerika wird ein Caller ID Spoofing-Dienst beispielsweise von einem Unternehmen angeboten, das sog. „Spoofcards“ ausgibt, die ähnlich wie Telefonkarten ein Guthaben für eine bestimme Gesprächsdauer besitzen und im Rahmen eines Abonnements per Kreditkarte erworben werden können. Zusätzlich stehen noch Funktionen wie Stimmverstellung und Aufnahme zu Verfügung. Dieser Dienst ist jedoch auf die USA und Kanada limitiert. Aktuell stehen in den USA noch 5-10 weitere Dienste zur Verfügung; erster Anbieter von Caller ID Spoofing via VoIP war 2004 das Unternehmen star38.com. In Deutschland gab es kurzzeitig Anfang des Jahres 2008 auch einen solchen Dienst von der Firma Visukom, jedoch musste dieser aufgrund von nicht eingehaltenen Vertragsabkommen für Carrierzugänge zum regulierten öffentlichen Netz wieder eingestellt werden.
Siehe auch
Quellen
- http://www.calleridspoofing.info/
- http://www.wired.com/science/discoveries/news/2006/03/70320
- Kevin Mitnick, in: Die Kunst der Täuschung, 2006, ISBN 3-8266-1569-7
- Dominique Dewitt, Festnetz, Handy, Internet, 2010, ISBN 3-645-65015-6
Wikimedia Foundation.