Die Nutzung von SMS für die Zwei-Faktor-Authentifizierung (2FA) ist nicht nur teuer, sondern auch ein lukratives Ziel für Betrüger. Die Rede ist von SMS-Pumping, einer betrügerischen Methode, bei der Angreifer massenhaft Premium-Telefonnummern in Anmeldeformulare eingeben – um hohe SMS-Kosten zu verursachen. Doch diese Praxis hat nicht nur Einzelfälle betroffen, sondern ganze Unternehmen finanziell belastet.
Elon Musk gab einst an, dass Twitter (heute X) jährlich etwa 60 Millionen US-Dollar durch gefälschte 2FA-SMS-Verifikationen verlor. Die Ursache: Ein strukturelles Problem, das sich durch die klassische SMS-basierte 2FA ergibt. Doch es gibt eine Alternative, die sowohl Kosten als auch Betrugsrisiko deutlich reduziert – die Umkehrung des Prinzips hin zu mobile-originated (MO) 2FA, insbesondere über iMessage.
Wie SMS-Pumping funktioniert und warum es so lukrativ ist
SMS-Pumping – auch bekannt als Artificially Inflated Traffic (AIT) oder SMS-Toll-Betrug – nutzt eine Schwachstelle in der traditionellen SMS-basierten 2FA aus. Betrüger registrieren eine große Anzahl von Telefonnummern, meist in Premium-Nummernbereichen, und geben diese in Anmeldeformulare ein. Jede gesendete SMS kostet das Unternehmen Geld, während ein Teil der Gebühren an die Betrüger zurückfließt.
Der entscheidende Faktor: Das Unternehmen sendet die SMS – und zahlt dafür. Jede Verifizierungsanfrage generiert somit Einnahmen für die Telekommunikationsanbieter und damit auch für die Betrüger. Die „Nutzer“ in diesen Fällen existieren überhaupt nicht; der gesamte Prozess dient einzig dazu, die Kostenrechnung des Unternehmens in die Höhe zu treiben.
Warum SMS-basierte 2FA selbst ohne Betrug teuer ist
Auch ohne betrügerische Aktivitäten ist der Einsatz von SMS für die 2FA mit erheblichen Kosten verbunden. Die Gründe:
- Pay-per-Message-Modell: Jede gesendete SMS verursacht Kosten. Bei hohen Nutzungszahlen – etwa durch Produktlaunches oder internationale Zielgruppen – können die Kosten unvorhersehbar ansteigen.
- Hohe Gebühren im internationalen Verkehr: Die Kosten für grenzüberschreitende SMS sind oft deutlich höher und variieren stark je nach Zielland.
- Regulatorische und administrative Hürden: In den USA müssen Unternehmen beispielsweise das A2P 10DLC-Programm durchlaufen, das Markenprüfungen und segmentbasierte Gebühren umfasst, bevor überhaupt eine SMS versendet werden darf.
Das Ergebnis? Die 2FA wird zu einer teuren, unberechenbaren und angreifbaren Infrastrukturkomponente – genau das Gegenteil von dem, was sie eigentlich sein sollte.
Der Fall Twitter/X: Ein reales Beispiel für die Kosten von SMS-Pumping
Das Problem ist nicht theoretisch. Als X ankündigte, die SMS-basierte 2FA für kostenlose Konten abzuschaffen, wurde als Hauptgrund der massive Betrug genannt. Laut Musk verlor das Unternehmen jährlich etwa 60 Millionen US-Dollar durch gefälschte 2FA-SMS-Verifikationen. Zudem waren rund 390 Telekommunikationsanbieter in den Betrug verwickelt, die durch künstlich aufgeblähte SMS-Traffic-Gebühren profitierten.
Für ein Unternehmen dieser Größenordnung mag die Lösung darin bestehen, eine Sicherheitsfunktion kostenpflichtig zu machen. Doch für die meisten anderen Teams ist dieser Ansatz keine Option. Sie sollten nicht gezwungen sein, 2FA zu monetarisieren, nur um ein Abrechnungsproblem zu lösen.
Die Lösung: Mobile-originated 2FA – und warum iMessage die perfekte Plattform ist
Der Kern des Problems liegt in der Richtung des Nachrichtenflusses: Bei der klassischen SMS-2FA sendet das Unternehmen die Verifizierungscode an den Nutzer. Genau dieser ausgehende, kostenpflichtige Fluss ist es, der missbraucht wird.
Die Lösung? Die Umkehrung des Prinzips: mobile-originated (MO) 2FA. Hier sendet der Nutzer eine Nachricht an das Unternehmen, um seine Identität zu verifizieren. Da keine ausgehende SMS mehr versendet wird, entfällt die Möglichkeit für Betrüger, Kosten zu generieren. Gleichzeitig gibt es keine finanziellen Anreize mehr für den Missbrauch.
MO 2FA ist zwar keine neue Technologie – Shortcodes sind ein bekanntes Beispiel –, doch diese sind oft umständlich, regional eingeschränkt und mit hohen Bereitstellungskosten verbunden. Die moderne Variante nutzt stattdessen iMessage, um den Prozess nahtlos und sicher zu gestalten.
Reverse 2FA über iMessage: Schritt für Schritt erklärt
Statt dem Nutzer einen Code per SMS zu senden, den dieser zurückgibt, funktioniert das reverse 2FA nach diesem Prinzip:
- Die Anwendung generiert einen einmaligen Code und einen Deep Link, der direkt in der Apple-Nachrichten-App geöffnet wird – mit dem Code bereits vorbefüllt.
- Der Nutzer sendet den Code selbst über seine iMessage-App ab.
- Das System erhält einen Webhook, sobald die Nachricht eingeht. Der Code wird überprüft, und die Identität des Nutzers wird bestätigt.
Da der Nutzer den Code über seine eigene Apple-ID und die Ende-zu-Ende-verschlüsselte iMessage sendet, ist das Verfahren fälschungssicher (im Gegensatz zu manipulierbaren SMS-Absendern) und phishingresistent (der Nutzer bestätigt den Besitz seines Geräts aktiv). Zudem gibt es keine ausgehende SMS mehr, die manipuliert werden könnte.
Ein Blick auf den Code: Minimaler Aufwand, maximale Wirkung
Die Implementierung ist denkbar einfach. Hier ein Beispiel in Node.js:
// 1. Challenge starten: Code generieren und Deep Link erstellen
app.post("/2fa/start", async (req, res) => {
const code = generateShortCode(); // Ein kurzer, eindeutiger Einmal-Code
await store.create(code, "pending"); // Status: ausstehend
return res.json({
code,
link: `
});
});
// 2. Webhook: Bestätigung, sobald der Nutzer den Code sendet
app.post("/webhook/blooio", async (req, res) => {
const event = await req.json();
if (event.event === "message.received") {
const code = extractCode(event.text);
if (code) {
// event.sender enthält die verifizierte Nutzer-ID (Telefonnummer/E-Mail)
await store.verify(code, event.sender);
}
}
return res.json({ ok: true });
});Das ist die gesamte Logik: Keine ausgehenden SMS, keine pro-code-Abrechnung, keine komplexen Registrierungsprozesse. Nur ein eingehender Webhook und eine einfache String-Überprüfung.
SMS 2FA vs. Reverse iMessage 2FA: Ein direkter Vergleich
| Kriterium | Reverse iMessage 2FA | Traditionelle SMS 2FA | |-----------------------------|---------------------------------------------------|-----------------------------------------------| | Kosten | Monatliche Flatrate, vorhersehbar | Pay-per-Message – Spitzen führen zu hohen Rechnungen | | Missbrauchsanfälligkeit | Kein Pumping möglich (Nutzer sendet aktiv) | Offene Angriffsfläche für SMS-Pumping | | Internationale Kosten | Gering, da keine Carrier-Gebühren | Hohe Gebühren durch grenzüberschreitende SMS | | Sicherheit | Ende-zu-Ende-verschlüsselt, an Apple-ID gebunden | Spoofbare Absender-IDs, SIM-Swap-Risiko | | Phishing-Schutz | Nutzer bestätigt realen Besitz | Codes können abgefangen oder weitergeleitet werden | | Latenz | Sofortige Bestätigung über WiFi/Mobilfunk | Oft verzögert, manchmal gar nicht zugestellt |
Konkrete Einsparungen und Vorteile
Der Wechsel zu reverse iMessage 2FA bietet nicht nur Schutz vor Betrug, sondern auch finanzielle und betriebliche Vorteile:
- Kostenvorhersehbarkeit: Eine monatliche Flatrate bedeutet, dass selbst hohe Nutzungszahlen nicht zu unerwarteten Rechnungen führen.
- Entfall des Betrugsanreizes: Da keine ausgehenden Nachrichten mehr versendet werden, entfällt der finanzielle Anreiz für Angreifer.
- Skalierbarkeit: Die Lösung funktioniert global, ohne zusätzliche Carrier-Gebühren oder regulatorische Hürden.
- Verbesserte Sicherheit: Die Ende-zu-Ende-Verschlüsselung von iMessage und die Bindung an die Apple-ID machen das System deutlich robuster gegen Spoofing und Phishing.
Die Zukunft der Zwei-Faktor-Authentifizierung könnte also in einer einfachen Umkehr liegen: Statt dem Nutzer einen Code zu schicken, lässt man ihn selbst aktiv werden. Mit iMessage als Plattform wird daraus nicht nur eine kostengünstigere, sondern auch eine sicherere Lösung – ohne dass Unternehmen ihre Sicherheitsstandards opfern müssen.
KI-Zusammenfassung
SMS 2FA drains budgets with fraud and unpredictable fees. Reverse iMessage verification eliminates pumping scams, saves up to 90% on costs, and delivers instant security.
