Ich habe kürzlich zum ersten Mal in meinem Leben bei einem Phishing Angriff Geld verloren und das ging so wie hier im langen 🧵 erzählt.
Ich habe kürzlich zum ersten Mal in meinem Leben bei einem Phishing Angriff Geld verloren und das ging so wie hier im langen 🧵 erzählt. 89 comments
Diese Mails kommen wirklich von Expedia. Ich habe das überprüft. Die Mailadresse da ist auch wirklich ausgestrichen, wahrscheinlich weil Expedia nicht will, dass das Hotel irgendwie direkt mit mir kommuniziert, sondern nur über sie. Man ist an solche Mails einfach schon total gewöhnt oder. Hinten und vorne stimmen Sachen nicht, aber mei, man muss halt auch mal was anderes machen. Neben weiteren legitimen “Wir freuen uns schon auf deine Anreise Mails” kam dann aber auch irgendwann das hier. OK. An dieser Mail ist alles falsch, z.B. kommt sie genau an einem Freitag abend um 19 Uhr mit einer 48h Deadline daher. Außerdem versucht sich mich auf eine URL zu lenken, die nicht zu Expedia gehört und über die wenig im Netz bekannt ist. Und direkt unter der eingebetteten Nachricht schreibt Expedia, warum man da nie Kreditkartendaten eingeben sollte. ABER: Diese Nachricht kommt laut E-Mail Headern nachweislich von Expedia IT. Your Move??? Ich denke Expedia hat hier ein Problem und beschließe sie zu benachrichtigen. Vorher rufe ich noch das Hotel an, aber da ist nur eine KI dran. “Wollen sie buchen oder eine bestehende Buchung bearbeiten?” Bei Expedia erreiche ich echte Menschen (zunächst per Chat) und werde auch ziemlich schnell zur „Eskalationsabteilung“ durchgereicht. Der Expedia Chat wird übrigens live übersetzt, d. h. man chattet auf Deutsch und die Person am anderen Ende auf Englisch. Die Erfahrung ist selbstverständlich eine absolute Katastrophe. Nach einigem betteln bekomme man aber wen ans Telefon. Die Expedia Mitarbeiter sind aufgeschreckt durch meine Aussage, ich würde Phishing Mails von ihnen erhalten. Deshalb prüfen sie in ihrer internen Datenbank, ob diese Mail die ich erhalten habe wirklich über Expedia-IT gegangen ist. Die Antwort ist ja. Sie sehen die Nachricht und bestätigen mir, dass es sich um eine legitime Nachricht vom Hotel handelt. Ich bringe Argumente vor wie z.B. dass direkt darunter steht, dass man dort keine Zahlungen vornehmen soll. Das wird weggewischt wie: Ja, aber irgendwie muss man ja zahlen, geht schon. Die Frau am Telefon klickt sogar selbst auf den Link und landet auf der Seite der Betrüger. Da läuft ein normaler Bezahlprozess, also so eine Eingabemaske für Kreditkartendaten mit KI-Chat-Option rechts unten. Sieht alles wie bei Expedia aus. Das Problem ist jetzt, dass sie nicht glaubt, dass Expedia ein Problem haben könnte. Sie will nur _mein_ Problem lösen, nicht ihrs (sie hat keins!) Sie bietet mir Lösungen für mein Problem an: Stornieren Sie doch und buchen sie die gleiche Kategorie neu mit Zahlung direkt über Expedia, oder zahlen sie halt direkt auf der Seite, es macht keinen Unterschied. Jetzt ist es schon nach 23 Uhr und ich werde müde von 40 Min am Telefon mit diesen Leuten. Also gebe ich auf und bezahle da. Vielleicht ist es ja doch einfach nur eine absolut scheiss-IT Lösung aber wenn es über Expedia gekommen ist, wird es schon stimmen. Und, wichtig: Die Betrugsseite hat meinen echten Rechnungsbetrag vorrätig (und Namen auch). Das ist schon soweit personalisiert. OK, die Zahlung pre Kreditkarte, verified by VISA, wird sofort gebucht, alles gut. Einzige kleine Unstimmigkeit: Der Betrag war 77,38 EUR und gebucht werden 77,00 EUR. Ich gehe schlafen. Am Samstag abend, 24h später werden nochmal 77,00 EUR gebucht. Ob das nur so Reservierungen für Buchungen sind oder echte Buchungen kann man erst am folgenden Bankarbeitstag sehen, also denke ich mir nichts dabei. Scheiss-IT halt. Am Montag stelle ich fest, dass beide Zahlungen finalisiert sind, also 2x77 EUR abgebucht. Es wird mir klar, dass es sich um Betrug handeln muss, aber wieso kommt dieser Betrug über die Expedia-IT? Ich rufe am 8.4. wieder Expedia an und arbeite mich bis zur englischsprachigen Eskalationsabteilung durch. Der Mitarbeiter ist jetzt schon etwas vorsichtiger und versteht auch das Problem. Er lässt sich die Transaktionsdaten der doppelten Abbuchung zeigen und kann bestätigen, dass dies nichts mit Expedia zu tun hat. Aber es steht ja noch im Raum, dass das Hotel das gemacht hat. Laut Buchung hatte Expedia ja sowieso nichts mit der Zahlung zu tun. 10 Minuten brauche ich um zu erklären, dass es sich nicht um ein Problem mit einer doppelten Abbuchung dreht, sondern dass beide Betrug sind. Weitere 10 Minuten lang bietet er mir wieder an, dass ich Stornieren und über Expedia zum garantiert gleichen Preis neu buchen könnte. Es ist einfach außerhalb der Vorstellungswelt dieser Leute, dass es ein IT-Sicherheitsproblem da irgendwo gibt. Da sind Daten abgeflossen. Die Angreifer haben meinen Buchungsbetrag, Namen und können Mails über Expedia-IT schicken! Nach einiger Diskussion wird er auch stutzig und verspricht mir, sich darum zu kümmern. Ich sperre derweil meine Kreditkarte und beantrage Chargeback usw. Am Dienstag 9.4. erhalte ich dann eine E-Mail vom Hotel! “Es tut mir leid, dass Du von dem Datenschutzverstoß betroffen warst.” Wenig später folgt auch Expedia mit der nach DSGVO verpflichtenden Nachricht: Also sind anscheinend doch Daten bei Expedia abgeflossen? Jedenfalls haben sie den Zugang zu ihrem Mailsystem unbefugten Dritten erlaubt. Mein Name und meinen Zahlbetrag kann man aus unverschlüsselten Mails abschnorcheln, da ist kein Einbruch nötig. In der Folge ruft mich Expedia noch mehrfach an und empfiehlt mir, den Chargeback auszulösen und die Kreditkarte zu sperren, was ich ja alles bereits getan hatte. Am 16.4. wird der Chargeback von der Bank abgelehnt, da ich die Transaktion per Smartphone autorisiert hatte. Da kann man sich jetzt auch noch beschweren und erst dann wird es von einem echten Menschen überprüft. Ich leite diese Nachricht an Expedia weiter, die mir daraufhin aber unverzüglich die 154 EUR EUR erstatten sowie noch Expedia-Punkte im Wert von ca. 60 EUR gutschreiben. Von meiner Seite aus ist finanziell nun alles geregelt, aber die Betrüger können anscheinend ihr Geld behalten? Oder wer kümmert sich denn jetzt noch darum das zurückzubuchen? Die Betrüger benutzen übrigens den Zahlungsdienstleister “Remitly”. Ob das bei denen irgendwen interessiert? Für mich bleibt die Einsicht, dass mein Instinkt noch funktioniert hat, aber wenn die große Organisation sagt “ist schon alles gut so” und man dann noch müde ist, dann gibt man irgendwann doch die Vorsicht auf. "When I was young, we used to compile our own operating systems.” Alt werden ist jedenfalls doof. 🙁 Die Mails kamen wirklich von Expedia. Wurde mir ja auch am Telefon bestätigt. Die Angreifer konnten Mails über die echte Expedia IT schicken: https://machteburch.social/@tomkalei/112241152212001731 Sprach Wechsel macht Expedia selbst ständig. Meine Rechner sind alle auf US eingestellt aber ich bin in DE… Datenschutz bedeutet aber auch, dass man nicht immer gleich und überall erkennbar ist. Warum wechselt bei euch der User Agent nicht? @maexchen1 @tomkalei nein. Datenschutz ist Schutz bestehender Daten vor dritten. Was du meinst ist Verhinderung des Generierens von Daten. Das sind zwei paar Schuhe. Und ich verstehe nicht, was das mit meinem Post zu tun hat. Ich beziehe mich auf den Screenshot der "Datenschutz-Email". @tomkalei Tja, ich behaupte immer über mich, ich würde auf Phishing nicht hereinfallen, aber ich glaube, mir wäre es genauso ergangen wie dir. *Hinterher*, wenn man weiß, dass man einem Betrug aufgesessen ist, ist man immer schlauer und weiß, dass man noch auf weitere Punkte hätte achten können. Aber wenn man sich "mitten im Prozess" befindet? Das ist dann eine andere Situation. @tomkalei Vielen Dank für die ausführliche Beschreibung. Nur aus Neugier: Hast Du den Vorfall angezeigt bei der Polizei? Das wäre wahrscheinlich die einzige Möglichkeit, dass die Betrüger verfolgt werden, auch wenn die Erfolgsaussichten vermutlich gering sind. Bisher nicht. Sollte ich vielleicht? Oder auch irgendeine Datenschutzbehörde? @StephanB @tomkalei Spar dir die Mühe. Das interessiert absolut keine Sau. Ich betreibe ein Hosting-Unternehmen. Einkäufe mit gefälschten Daten passieren dort fast täglich. Wir erkennen das natürlich und reagieren entsprechend, aber interessieren tut das niemanden. Die kommen aus nem anderen Land, da kann man nicht so einfach was machen, ist halt so, tja. Wundert mich seitdem nicht mehr, dass es überall so von Scam wimmelt. Macht ja keiner was gegen. @tomkalei Wenn ich recht verstehe, gab es doch noch eine zweite Transaktion, die nicht aktiv bestätigt worden war? Zumindest die sollte doch widerrufbar sein. @virbonus Ja, die Transaktion wurde im genau 24h Abstand 2x ausgeführt. Vermute, dass das irgendeine Funktion von VISA ist, dass man die gleiche Autorisierung in irgendwelchen Fällen 2x nutzen kann. @tomkalei Das wäre aber eine Riesenlücke, dass jeder, der eine Transaktionsautorisierung hat, dann noch einen Freischuss kriegt … Keine Ahnung. Ich habe beide Transaktionen bei der Bank reklamiert und dann nach der ersten Ablehnung meine ganze Beschreibung hingeschickt. Die prüfen das jetzt. @tomkalei krasser Vorgang. Aber kleine Anmerkung: E-Mail-Header kann man unter gewissen Umständen vergleichsweise leicht fälschen, ist also nicht zwingend, dass die das Email-System gehackt haben. Aber trotzdem durchaus wahrscheinlich, wenn sie ja eh im System waren um Deine Daten abzuziehen. Hmm, OK. Aber es gibt doch diese Kette wo der Server meines Providers am Ende reinschreibt woher er die Mail bekommen hat. Die Kette hatte Länge 3 Expedia -> Ankunft bei meinem Provider -> interne Filterung -> Inbox. Wie bekommt man meinen Provider dazu da nicht die Wahrheit hinzuschreiben, woher die Mail zu ihm kam? @tomkalei das hängt sehr davon ab was dein provider da alles an zusatzprotokollen aktiviert hat und von wem er überhaupt mails annimmt. das wird dann sehr schnell sehr komplex und ist nicht wirklich standardisiert. aber ja, ne gewisse legitimität hat das schon. wie gesagt, ich halte es tatsächlich in deinem fall auch für die wahrscheinlichere erklärung. Ich denke es ist sicher, dass die Mail über dieses nachrichtensystem von Expedia gelaufen ist. Der echte Expedia Support hatte ja auch Zugriff auf diese Mails und hat mir fälschlicherweise bestätigt, dass sie vom Hotel kommen. @tomkalei so eine Mail hatte ich im Dezember von booking.com, die waren gehackt, so dass solche Zahlungsaufforderungen auch direkt von meinem Hotel aus dem System mit allen meinen Reservierungsinfos kamen. Ich war auch misstrauisch und habe erst mal eine böse Mail ans Hotel geschrieben (auch über booking.com) die mir dann gesagt haben, dass das nicht von ihnen kommt und ich nichts bezahlen soll. Viele andere Leute sind bei der Masche wohl Opfer geworden. @noujoum Ja, dieses System, dass sie Mails von 1000en von Hotels einfach an die User weiterleiten. Aber hier scheint wirklich Expedia irgendwie betroffen zu sein. Das Hotel weist alles von sich und Expedia hat mir ja direkt Geld gegeben und nie das Hotel beschuldigt… 🧐 @tomkalei Identische Mails kommen auch über andere Anbieter wie booking oder Airbnb. Die Accounts der Vermieter wurden leider gehakt und ihr Account missbraucht. Habe das auch schon bei Airbnb erlebt. Da man aber von B&Bs meist keine Daten im Internet findet um sie zu kontaktieren, ist das echt schwierig mit dem nachfragen und der Aufklärung. Hier verneint das Hotel diese (logische) Erklärung und Expedia hat ja auch ziemlich schnell Geld zu mir geschickt, damit ich aufhöre weiter zu nerven. Kein Expedia Mitarbeiter hat je gesagt, dass das Hotel Schuld wäre. @tomkalei bin vor einer Weile auch schon fast auf einen solchen Betrugsversuch hereingefallen. Hatte bei Booking.com ein Hotel gebucht. Ein paar Wochen vor dem Aufenthalt kam dann plötzlich via Booking Chat eine Nachricht von meinem Hotel. Ich sollte über einen Link nun doch schon vorauszahlen. Innerhalb der nächsten 24 Stunden. Aufgeflogen ist es dann, als ich sich widersprechende Antworten im Chat bekam. Es hieß auf Nachfrage "Nein, brauchst nichts buchen" und dann wieder "Oh ja doch sofort". @tomkalei dann war relativ schnell klar, dass offenbar der Account vom Hotel von Fremden übernommen worden war. Mit sowas rechnet man überhaupt nicht. Bei den laxen Vorstellungen von IT Sicherheit ist das aber irgendwie dann aber doch auch nicht überraschend :S Hier verneint das Hotel das und Expedia hat auch ungewöhnlich schnell einfach Geld zu mir geschickt. Außerdem kam ihr eigener Telefonsupport auch nicht auf die Idee, dass es das sein könnte… Warum bucht Ihr eigentlich über solche Plattformen? Diese machen das auch nicht umsonst und schlagen das drauf. Ich buche nur direkt beim Hotel und verhandle jedesmal den Preis. Das geht besonders gut wenn viele Zimmer leer sind. So bin ich jedesmal weit unter dem Preis auf der Hotel Seite und erst recht bei Buchungsportalen. Vor Ort bezahle ich dann Bar. @maexchen1 Bequemlichkeit ;) alles an einem Ort. Und ich bekomme immer wieder mal nen guten Deal. Natürlich könnte ich auch so verhandeln - aber das habe ich noch nicht versucht. Habe mir dafür keine guten Chancen ausgerechnet. Verhandlungen sind wohl selten geworden. Bequemlichkeit sehe ich auch bei Amazon und co. Sind auch jedesmal richtig teurer als wenn man beim Hersteller direkt bestellt. Daher wundert es mich nicht wenn nur noch zwischen Teuer und Schrott (Temu und co) entschieden wird. @maexchen1 @thomas @tomkalei Das geht doch aber nur, wenn man schon weiß, in welches Hotel man will. In einer fremden Stadt mit hunderten Hotels kann ich die ja nicht alle anrufen. Und woher soll ich wissen, ob bei denen gerade viele Zimmer frei sind? Ich wusste nicht mal, dass man Zimmerpreise in Hotels überhaupt verhandeln kann. Stehen die nicht fest? Offensichtlich übernachte ich nicht oft genug in Hotels 😁 @tomkalei Danke, dass du das geteilt hast! Zum Glück ist dir zumindest kein finanzieller Schaden entstanden, aber das hin und her und die Nerven, die man dabei lässt, sind ja auch immer mehr als lästig. Man muss da heute echt aufpassen wie ein Luchs und selbst dann sieht manches derart echt aus… @tomkalei Danke für die ausführliche Beschreibung! Hatte derartige Buchungen mit "fremden" Links zweimal im letzten Urlaub. Kosten offenbar korrekt gelaufen . In einem Fall bin ich aber stutzig, weil ich persönliche Daten zur Anmeldung angegeben hatte, die beim Erscheinen im Hotel dann nicht vorlagen. Wer die jetzt wohl hat? Deinen letzten Satz unterschreibe ich. Es ist nicht leicht, alt zu werden! @tomkalei Das ist ja glücklicherweise glimpflich ausgegangen. Hier noch ein Beitrag der Verbraucherzentrale zu der Masche bei booking.com. Auch bei der VZ sollte man solche Vorfälle melden - und bei der Polizei. @tomkalei Ich fürchte den Tag, an dem auch ich zum ersten Mal auf Phishing reinfalle. Dank Deines Berichts ist dieser Tag hoffentlich ein paar Tage weiter in die Zukunft gerückt. @tomkalei Ich habe nicht alle Details gelesen, aber das Hotel könnte seine Accountdaten geleakt haben. Es gibt da z.T. die irrwitzgsten Dinge, ich habe bspw. einmal die Booking.com-Credentials auf einem Zettel gut leserlich an der Hinterwand einer Rezeption sehen können ... @tomkalei Danke fürs Teilen. Allein dieses unter Zeitdruck setzen: "Sie haben 48 Stunden…“ Wenn das zum richtigen falschen Zeitpunkt kommt und triggert. @tomkalei Auf Phishing können allen hereinfallen. Selbst Profis sind mal müde und unachtsam. Ich habe für Freunde mal ein Tutorial gemacht, wie sie Phishing erkennen können. Ein paar Monate später bin ich selbst auf eine Mail hereingefallen. @tomkalei Die IT Systeme, mit denen wir uns rumschlagen müssen, werden immer schlechter und kundenunfreundlicher. Da müssen die Betrüger gar nicht so viel besser werden, um Erfolg zu haben. Das ist schon echt traurig. Ich sammle "echte" Firmenmails, die sehr viele Eigenschaften von betrügerischen Emails aufweisen und so langsam dreht sich das um: Je perfekter und "legitimer" eine Mail aussieht, umso eher ist sie nicht echt ... |
Ich habe über Expedia eine Übernachtung in einem durchautomatisierten Hotel gebucht, so MacÜbernachtung ohne Rezeption, wo man nie einen Menschen trifft. Bezahlung direkt ans Hotel.
In der Zeit zwischen Buchung und Anreise kommen immer mal wieder von Expedia komische Mails wie diese hier: