Gregory's ServerDer Expedia Chat wird übrigens live übersetzt, d. h. man chattet auf Deutsch und die Person am anderen Ende auf Englisch. Die Erfahrung ist selbstverständlich eine absolute Katastrophe. Nach einigem betteln bekomme man aber wen ans Telefon.
https://machteburch.social/@tomkalei/112237352281709077
|
Top-level
49 comments
Die Antwort ist ja. Sie sehen die Nachricht und bestätigen mir, dass es sich um eine legitime Nachricht vom Hotel handelt. Ich bringe Argumente vor wie z.B. dass direkt darunter steht, dass man dort keine Zahlungen vornehmen soll. Das wird weggewischt wie: Ja, aber irgendwie muss man ja zahlen, geht schon. Die Frau am Telefon klickt sogar selbst auf den Link und landet auf der Seite der Betrüger. Da läuft ein normaler Bezahlprozess, also so eine Eingabemaske für Kreditkartendaten mit KI-Chat-Option rechts unten. Sieht alles wie bei Expedia aus. Das Problem ist jetzt, dass sie nicht glaubt, dass Expedia ein Problem haben könnte. Sie will nur _mein_ Problem lösen, nicht ihrs (sie hat keins!) Sie bietet mir Lösungen für mein Problem an: Stornieren Sie doch und buchen sie die gleiche Kategorie neu mit Zahlung direkt über Expedia, oder zahlen sie halt direkt auf der Seite, es macht keinen Unterschied. Jetzt ist es schon nach 23 Uhr und ich werde müde von 40 Min am Telefon mit diesen Leuten. Also gebe ich auf und bezahle da. Vielleicht ist es ja doch einfach nur eine absolut scheiss-IT Lösung aber wenn es über Expedia gekommen ist, wird es schon stimmen. Und, wichtig: Die Betrugsseite hat meinen echten Rechnungsbetrag vorrätig (und Namen auch). Das ist schon soweit personalisiert. OK, die Zahlung pre Kreditkarte, verified by VISA, wird sofort gebucht, alles gut. Einzige kleine Unstimmigkeit: Der Betrag war 77,38 EUR und gebucht werden 77,00 EUR. Ich gehe schlafen. Am Samstag abend, 24h später werden nochmal 77,00 EUR gebucht. Ob das nur so Reservierungen für Buchungen sind oder echte Buchungen kann man erst am folgenden Bankarbeitstag sehen, also denke ich mir nichts dabei. Scheiss-IT halt. Am Montag stelle ich fest, dass beide Zahlungen finalisiert sind, also 2x77 EUR abgebucht. Es wird mir klar, dass es sich um Betrug handeln muss, aber wieso kommt dieser Betrug über die Expedia-IT? Ich rufe am 8.4. wieder Expedia an und arbeite mich bis zur englischsprachigen Eskalationsabteilung durch. Der Mitarbeiter ist jetzt schon etwas vorsichtiger und versteht auch das Problem. Er lässt sich die Transaktionsdaten der doppelten Abbuchung zeigen und kann bestätigen, dass dies nichts mit Expedia zu tun hat. Aber es steht ja noch im Raum, dass das Hotel das gemacht hat. Laut Buchung hatte Expedia ja sowieso nichts mit der Zahlung zu tun. 10 Minuten brauche ich um zu erklären, dass es sich nicht um ein Problem mit einer doppelten Abbuchung dreht, sondern dass beide Betrug sind. Weitere 10 Minuten lang bietet er mir wieder an, dass ich Stornieren und über Expedia zum garantiert gleichen Preis neu buchen könnte. Es ist einfach außerhalb der Vorstellungswelt dieser Leute, dass es ein IT-Sicherheitsproblem da irgendwo gibt. Da sind Daten abgeflossen. Die Angreifer haben meinen Buchungsbetrag, Namen und können Mails über Expedia-IT schicken! Nach einiger Diskussion wird er auch stutzig und verspricht mir, sich darum zu kümmern. Ich sperre derweil meine Kreditkarte und beantrage Chargeback usw. Am Dienstag 9.4. erhalte ich dann eine E-Mail vom Hotel! “Es tut mir leid, dass Du von dem Datenschutzverstoß betroffen warst.” Wenig später folgt auch Expedia mit der nach DSGVO verpflichtenden Nachricht: Also sind anscheinend doch Daten bei Expedia abgeflossen? Jedenfalls haben sie den Zugang zu ihrem Mailsystem unbefugten Dritten erlaubt. Mein Name und meinen Zahlbetrag kann man aus unverschlüsselten Mails abschnorcheln, da ist kein Einbruch nötig. In der Folge ruft mich Expedia noch mehrfach an und empfiehlt mir, den Chargeback auszulösen und die Kreditkarte zu sperren, was ich ja alles bereits getan hatte. Am 16.4. wird der Chargeback von der Bank abgelehnt, da ich die Transaktion per Smartphone autorisiert hatte. Da kann man sich jetzt auch noch beschweren und erst dann wird es von einem echten Menschen überprüft. Ich leite diese Nachricht an Expedia weiter, die mir daraufhin aber unverzüglich die 154 EUR EUR erstatten sowie noch Expedia-Punkte im Wert von ca. 60 EUR gutschreiben. Von meiner Seite aus ist finanziell nun alles geregelt, aber die Betrüger können anscheinend ihr Geld behalten? Oder wer kümmert sich denn jetzt noch darum das zurückzubuchen? Die Betrüger benutzen übrigens den Zahlungsdienstleister “Remitly”. Ob das bei denen irgendwen interessiert? Für mich bleibt die Einsicht, dass mein Instinkt noch funktioniert hat, aber wenn die große Organisation sagt “ist schon alles gut so” und man dann noch müde ist, dann gibt man irgendwann doch die Vorsicht auf. "When I was young, we used to compile our own operating systems.” Alt werden ist jedenfalls doof. 🙁  Die Mails kamen wirklich von Expedia. Wurde mir ja auch am Telefon bestätigt. Die Angreifer konnten Mails über die echte Expedia IT schicken: https://machteburch.social/@tomkalei/112241152212001731 Sprach Wechsel macht Expedia selbst ständig. Meine Rechner sind alle auf US eingestellt aber ich bin in DE… Datenschutz bedeutet aber auch, dass man nicht immer gleich und überall erkennbar ist. Warum wechselt bei euch der User Agent nicht? @maexchen1 @tomkalei nein. Datenschutz ist Schutz bestehender Daten vor dritten. Was du meinst ist Verhinderung des Generierens von Daten. Das sind zwei paar Schuhe. Und ich verstehe nicht, was das mit meinem Post zu tun hat. Ich beziehe mich auf den Screenshot der "Datenschutz-Email". @odr_k4tana @tomkalei chat.expedia.de geht vermutlich nicht so leicht, aber expedia.chat.de wäre ne Möglichkeit. @derlemue @tomkalei true. Ich würde bei sowas über dashes gehen (chat-expedia.de). Im Normalfall bleibt die eben nicht so lange on, weil größere Firmen im Normalfall den domainspace überwachen und solche neuen Domains melden. Gab mal bei Lufthansa einen Fall, bei dem das tatsächlich funktioniert hat. @tomkalei Tja, ich behaupte immer über mich, ich würde auf Phishing nicht hereinfallen, aber ich glaube, mir wäre es genauso ergangen wie dir. *Hinterher*, wenn man weiß, dass man einem Betrug aufgesessen ist, ist man immer schlauer und weiß, dass man noch auf weitere Punkte hätte achten können. Aber wenn man sich "mitten im Prozess" befindet? Das ist dann eine andere Situation. Diese organisierte Verantwortungslosigkeit in "modernen" Unternehmer macht mich regelmäßig rasend. Nie kann man mit echten Menschen sprechen, geschweige denn welche die qualifiziert sind, kompetent und Handlungsspielraum haben. Und dass man als Kunde halbwegs intelligent ist und (deren) Probleme erkennt kann schon mal gar nicht sein.  @rhold @tomkalei damn das ist blöde. Ein Punkt verstehe ich noch nicht: du schreibst die Angreifer hätten deine credentials vermutlich von abgeschnorchelten Klartext Mails. Dafür müssten sie aber auf dem Mail Weg von der Hotelkette zu dir sein. Du kannst das theoretisch in den Email headern sehen. ( Da wird die Reise der Email protokolliert insofern nicht dein Mailserver der attacker ist). Ich halte das aber eher für unwahrscheinlich. Die scheinen ein Leck zu haben  @tomkalei Und jetzt stell dir vor, Jemandem der nicht dein Verständnis und die Übersicht zu IT hat, passiert das. 🫣  @tomkalei da hätte ich wohl auch gezahlt, ja. Was ich bestätigen kann, die Leute können sich nicht vorstellen, ein Sicherheitsproblem zu haben, das ist unmöglich, weil es nicht sein darf. @tomkalei Vielen Dank für die ausführliche Beschreibung. Nur aus Neugier: Hast Du den Vorfall angezeigt bei der Polizei? Das wäre wahrscheinlich die einzige Möglichkeit, dass die Betrüger verfolgt werden, auch wenn die Erfolgsaussichten vermutlich gering sind. Bisher nicht. Sollte ich vielleicht? Oder auch irgendeine Datenschutzbehörde? Ich denke auch, dass eine Anzeige gut wäre. Bei der Datenschutzbehörde sollte es bereits durch Expedia gemeldet worden sein. Aber es schadet sicher nicht, sich dort auch als Betroffener zu melden. Zuständig wäre wohl die irische Behörde, aber als Verbraucher würde ich mich in dem Fall einfach an die Behörde meines Bundeslandes wenden. Die Idee, den Fall mal bei @heisec zu melden, finde ich auch gut. @tha @tomkalei @StephanB Und das gesamte #teamdatenschutz interessiert das sicherlich auch. @tomkalei Ich fände super, wenn Du das anzeigen würdest, insbesondere wo Du die Dokumentation ja quasi schon gemacht hast. Wahrscheinlich wird das nicht zu einer Bestrafung der Täter führen, weil sie sich nicht ermitteln lassen. Aber der Fall landet in der Statistik. Sonst heißt es nämlich "No ticket, no problem".  @StephanB @tomkalei Spar dir die Mühe. Das interessiert absolut keine Sau. Ich betreibe ein Hosting-Unternehmen. Einkäufe mit gefälschten Daten passieren dort fast täglich. Wir erkennen das natürlich und reagieren entsprechend, aber interessieren tut das niemanden. Die kommen aus nem anderen Land, da kann man nicht so einfach was machen, ist halt so, tja. Wundert mich seitdem nicht mehr, dass es überall so von Scam wimmelt. Macht ja keiner was gegen. @tomkalei Wenn ich recht verstehe, gab es doch noch eine zweite Transaktion, die nicht aktiv bestätigt worden war? Zumindest die sollte doch widerrufbar sein. @virbonus Ja, die Transaktion wurde im genau 24h Abstand 2x ausgeführt. Vermute, dass das irgendeine Funktion von VISA ist, dass man die gleiche Autorisierung in irgendwelchen Fällen 2x nutzen kann. @tomkalei Das wäre aber eine Riesenlücke, dass jeder, der eine Transaktionsautorisierung hat, dann noch einen Freischuss kriegt … Keine Ahnung. Ich habe beide Transaktionen bei der Bank reklamiert und dann nach der ersten Ablehnung meine ganze Beschreibung hingeschickt. Die prüfen das jetzt.  @tomkalei dann hast du ja immerhin 60€ für deine Arbeitszeit bekommen … nehmen Sicherheitsexperten nicht eher das drei- bis fünffache, wenn sie Firmen helfen, so einen Angriff aufzudecken? Wenn sie beauftragt werden wirds sicher teuerer als ein paar Expedia Points…  @tomkalei krasser Vorgang. Aber kleine Anmerkung: E-Mail-Header kann man unter gewissen Umständen vergleichsweise leicht fälschen, ist also nicht zwingend, dass die das Email-System gehackt haben. Aber trotzdem durchaus wahrscheinlich, wenn sie ja eh im System waren um Deine Daten abzuziehen. Hmm, OK. Aber es gibt doch diese Kette wo der Server meines Providers am Ende reinschreibt woher er die Mail bekommen hat. Die Kette hatte Länge 3 Expedia -> Ankunft bei meinem Provider -> interne Filterung -> Inbox. Wie bekommt man meinen Provider dazu da nicht die Wahrheit hinzuschreiben, woher die Mail zu ihm kam? @tomkalei das hängt sehr davon ab was dein provider da alles an zusatzprotokollen aktiviert hat und von wem er überhaupt mails annimmt. das wird dann sehr schnell sehr komplex und ist nicht wirklich standardisiert. aber ja, ne gewisse legitimität hat das schon. wie gesagt, ich halte es tatsächlich in deinem fall auch für die wahrscheinlichere erklärung. Ich denke es ist sicher, dass die Mail über dieses nachrichtensystem von Expedia gelaufen ist. Der echte Expedia Support hatte ja auch Zugriff auf diese Mails und hat mir fälschlicherweise bestätigt, dass sie vom Hotel kommen. @tomkalei die Erfahrung habe ich auch bei vielen Firmen gemacht. Es gibt so viele dumme Probleme und darauf wird im Support so sehr fokussiert, dass der Eskalationspfad für die echten Probleme so zugebaut wurde, dass er de facto abgeschafft wurde. Man kann die Probleme eigentlich nur wirksam melden, wenn man dafür als Consultant einen vierstelligen Tagessatz aufruft. @tomkalei die meisten Supportmitarbeiter verstehen auch gar nicht, dass man aus eher selbstlosen Gründen etwas meldet. Dass es also weniger um den (oft eher geringen) persönlichen Schaden geht, als darum, die Firma zu verbessern. |
Die Expedia Mitarbeiter sind aufgeschreckt durch meine Aussage, ich würde Phishing Mails von ihnen erhalten. Deshalb prüfen sie in ihrer internen Datenbank, ob diese Mail die ich erhalten habe wirklich über Expedia-IT gegangen ist.