Email or username:

Password:

Forgot your password?
Top-level
Thomas Kahle :verified:

Am Montag stelle ich fest, dass beide Zahlungen finalisiert sind, also 2x77 EUR abgebucht. Es wird mir klar, dass es sich um Betrug handeln muss, aber wieso kommt dieser Betrug über die Expedia-IT?

39 comments
Thomas Kahle :verified: replied to Thomas Kahle :verified:

Ich rufe am 8.4. wieder Expedia an und arbeite mich bis zur englischsprachigen Eskalationsabteilung durch. Der Mitarbeiter ist jetzt schon etwas vorsichtiger und versteht auch das Problem. Er lässt sich die Transaktionsdaten der doppelten Abbuchung zeigen und kann bestätigen, dass dies nichts mit Expedia zu tun hat.

Thomas Kahle :verified: replied to Thomas Kahle :verified:

Aber es steht ja noch im Raum, dass das Hotel das gemacht hat. Laut Buchung hatte Expedia ja sowieso nichts mit der Zahlung zu tun. 10 Minuten brauche ich um zu erklären, dass es sich nicht um ein Problem mit einer doppelten Abbuchung dreht, sondern dass beide Betrug sind.

Weitere 10 Minuten lang bietet er mir wieder an, dass ich Stornieren und über Expedia zum garantiert gleichen Preis neu buchen könnte.

Thomas Kahle :verified: replied to Thomas Kahle :verified:

Es ist einfach außerhalb der Vorstellungswelt dieser Leute, dass es ein IT-Sicherheitsproblem da irgendwo gibt. Da sind Daten abgeflossen. Die Angreifer haben meinen Buchungsbetrag, Namen und können Mails über Expedia-IT schicken!

Nach einiger Diskussion wird er auch stutzig und verspricht mir, sich darum zu kümmern. Ich sperre derweil meine Kreditkarte und beantrage Chargeback usw.

Thomas Kahle :verified: replied to Thomas Kahle :verified:

Am Dienstag 9.4. erhalte ich dann eine E-Mail vom Hotel!

“Es tut mir leid, dass Du von dem Datenschutzverstoß betroffen warst.”
“Am 05.04. sind wir über die Phishing Mails, die von Expedia verschickt wurden aufmerksam geworden. Wir haben dies unverzüglich Expedia gemeldet, da die Mails seitens Expedia verschickt wurden und nicht von uns.”

Wenig später folgt auch Expedia mit der nach DSGVO verpflichtenden Nachricht:

Thomas Kahle :verified: replied to Thomas Kahle :verified:

Also sind anscheinend doch Daten bei Expedia abgeflossen? Jedenfalls haben sie den Zugang zu ihrem Mailsystem unbefugten Dritten erlaubt. Mein Name und meinen Zahlbetrag kann man aus unverschlüsselten Mails abschnorcheln, da ist kein Einbruch nötig.

In der Folge ruft mich Expedia noch mehrfach an und empfiehlt mir, den Chargeback auszulösen und die Kreditkarte zu sperren, was ich ja alles bereits getan hatte.

Thomas Kahle :verified: replied to Thomas Kahle :verified:

Am 16.4. wird der Chargeback von der Bank abgelehnt, da ich die Transaktion per Smartphone autorisiert hatte. Da kann man sich jetzt auch noch beschweren und erst dann wird es von einem echten Menschen überprüft.

Ich leite diese Nachricht an Expedia weiter, die mir daraufhin aber unverzüglich die 154 EUR EUR erstatten sowie noch Expedia-Punkte im Wert von ca. 60 EUR gutschreiben.

Thomas Kahle :verified: replied to Thomas Kahle :verified:

Von meiner Seite aus ist finanziell nun alles geregelt, aber die Betrüger können anscheinend ihr Geld behalten? Oder wer kümmert sich denn jetzt noch darum das zurückzubuchen? Die Betrüger benutzen übrigens den Zahlungsdienstleister “Remitly”. Ob das bei denen irgendwen interessiert?

Thomas Kahle :verified: replied to Thomas Kahle :verified:

Für mich bleibt die Einsicht, dass mein Instinkt noch funktioniert hat, aber wenn die große Organisation sagt “ist schon alles gut so” und man dann noch müde ist, dann gibt man irgendwann doch die Vorsicht auf.

"When I was young, we used to compile our own operating systems.”
Das stand schon ganz früh in meiner Twitter Bio und stimmt sogar :gentoo:

Alt werden ist jedenfalls doof. 🙁

Oliver D. Reithmaier replied to Thomas Kahle :verified:

@tomkalei Tatsächlich ist so ein spearphishing nach Datenabfluss in Deutschland leider keine Seltenheit. Habe da schon aus verschiedenen Quellen einiges gesehen, es waren viele namhafte Unternehmen betroffen. Mit ist es mal mit der Bahn passiert, allerdings wurde da einfach abgebucht ohne Autorisierung, das ging schnell wieder rückgängig.

Wenn es seltsam aussieht, immer den Email Server checken und sehen, ob er wirklich aus der Parent-Domain von Expedia kommt. An sich ist es möglich, dass Angreifer kurzzeitig Domains registrieren, die ähnlich aussehen wie die Originaldomains (z.B. chat.expedia.de). Hier sollte man checken, ob das wirklich registrierte Subdomains sind. Das geht z.B. hier: subdomainfinder.c99.nl/

Sprach-Wechsel zwischen E-Mails sind auch Grund zur Besorgnis, gerade wenn sie vom selben Anbieter sind.

@tomkalei Tatsächlich ist so ein spearphishing nach Datenabfluss in Deutschland leider keine Seltenheit. Habe da schon aus verschiedenen Quellen einiges gesehen, es waren viele namhafte Unternehmen betroffen. Mit ist es mal mit der Bahn passiert, allerdings wurde da einfach abgebucht ohne Autorisierung, das ging schnell wieder rückgängig.

Thomas Kahle :verified: replied to Oliver D. Reithmaier

@odr_k4tana

Die Mails kamen wirklich von Expedia. Wurde mir ja auch am Telefon bestätigt. Die Angreifer konnten Mails über die echte Expedia IT schicken:

machteburch.social/@tomkalei/1

Sprach Wechsel macht Expedia selbst ständig. Meine Rechner sind alle auf US eingestellt aber ich bin in DE…

Oliver D. Reithmaier replied to Thomas Kahle :verified:

@tomkalei naja. Du hast E-Mails sowohl auf Deutsch als auch auf Englisch geposted. Dein User Agent ist normalerweise registriert bei Expedia, heißt die sollten die Sprache konstant halten (war/ist bei meiner Nutzung auch so, ich erhalte z.B. alles auf Englisch).

Ich bin erstmal skeptisch, ob das wirklich von Expedia selbst kam. Die Datenschutz Email legt nahe, dass du einfach eine relay-email erhalten hast, die über einen internen Messenger vom Hotel an den Email-Verteiler von Expedia versandt wurde (daher auch die Senderadresse Chat.expedia.de; die taucht in den sichtbaren Subdomains nicht auf!). Das Problem liegt also beim Hotel selbst, nicht bei Expedia. Prinzipiell können dir Hotels ja Messages schicken ohne Ende. Expedia leitet die einfach weiter und legt die eigene Maske automatisiert drüber. Insofern wurde das Hotel wohl gebreacht und die Angreifer haben dann über den Messenger zu Expedia gephisht. Expedia selbst hat da erstmal wenig mit zu tun...das ist vermutlich auch der Grund, warum sie dir anfänglich nicht helfen konnten: es war wirklich nicht ihr IT-Problem (höchstens sekundär).

An sich ein kluger Angriff!

@tomkalei naja. Du hast E-Mails sowohl auf Deutsch als auch auf Englisch geposted. Dein User Agent ist normalerweise registriert bei Expedia, heißt die sollten die Sprache konstant halten (war/ist bei meiner Nutzung auch so, ich erhalte z.B. alles auf Englisch).

Ich bin erstmal skeptisch, ob das wirklich von Expedia selbst kam. Die Datenschutz Email legt nahe, dass du einfach eine relay-email erhalten hast, die über einen internen Messenger vom Hotel an den Email-Verteiler von Expedia versandt wurde...

maexchen1 replied to Oliver D. Reithmaier

@odr_k4tana

Datenschutz bedeutet aber auch, dass man nicht immer gleich und überall erkennbar ist.

Warum wechselt bei euch der User Agent nicht?

@tomkalei

Oliver D. Reithmaier replied to maexchen1

@maexchen1 @tomkalei nein. Datenschutz ist Schutz bestehender Daten vor dritten. Was du meinst ist Verhinderung des Generierens von Daten. Das sind zwei paar Schuhe. Und ich verstehe nicht, was das mit meinem Post zu tun hat. Ich beziehe mich auf den Screenshot der "Datenschutz-Email".

derlemue :vf: :af: :ns: :ad: replied to Oliver D. Reithmaier

@odr_k4tana @tomkalei chat.expedia.de geht vermutlich nicht so leicht, aber expedia.chat.de wäre ne Möglichkeit.

Oliver D. Reithmaier replied to derlemue :vf: :af: :ns: :ad:

@derlemue @tomkalei true. Ich würde bei sowas über dashes gehen (chat-expedia.de). Im Normalfall bleibt die eben nicht so lange on, weil größere Firmen im Normalfall den domainspace überwachen und solche neuen Domains melden.

Gab mal bei Lufthansa einen Fall, bei dem das tatsächlich funktioniert hat.

Jörg replied to Thomas Kahle :verified:

@tomkalei Tja, ich behaupte immer über mich, ich würde auf Phishing nicht hereinfallen, aber ich glaube, mir wäre es genauso ergangen wie dir. *Hinterher*, wenn man weiß, dass man einem Betrug aufgesessen ist, ist man immer schlauer und weiß, dass man noch auf weitere Punkte hätte achten können. Aber wenn man sich "mitten im Prozess" befindet? Das ist dann eine andere Situation.

rhold replied to Thomas Kahle :verified:

@tomkalei

Diese organisierte Verantwortungslosigkeit in "modernen" Unternehmer macht mich regelmäßig rasend.

Nie kann man mit echten Menschen sprechen, geschweige denn welche die qualifiziert sind, kompetent und Handlungsspielraum haben.

Und dass man als Kunde halbwegs intelligent ist und (deren) Probleme erkennt kann schon mal gar nicht sein.

ManniCalavera replied to rhold

@rhold
"Diese organisierte Verantwortungslosigkeit in "modernen" Unternehmer macht mich regelmäßig rasend. "
Exakt. Wird von staatlicher Seite auch gern gemacht ("...liegt in der Verantwortung des beauftragten Unternehmens."). Und bald mit KI!

iameru replied to Thomas Kahle :verified:

@tomkalei damn das ist blöde. Ein Punkt verstehe ich noch nicht: du schreibst die Angreifer hätten deine credentials vermutlich von abgeschnorchelten Klartext Mails. Dafür müssten sie aber auf dem Mail Weg von der Hotelkette zu dir sein. Du kannst das theoretisch in den Email headern sehen. ( Da wird die Reise der Email protokolliert insofern nicht dein Mailserver der attacker ist). Ich halte das aber eher für unwahrscheinlich. Die scheinen ein Leck zu haben

Radgryd replied to Thomas Kahle :verified:

@tomkalei Und jetzt stell dir vor, Jemandem der nicht dein Verständnis und die Übersicht zu IT hat, passiert das. 🫣

Armin Hanisch replied to Thomas Kahle :verified:

@tomkalei da hätte ich wohl auch gezahlt, ja. Was ich bestätigen kann, die Leute können sich nicht vorstellen, ein Sicherheitsproblem zu haben, das ist unmöglich, weil es nicht sein darf.

Stephan replied to Thomas Kahle :verified:

@tomkalei Vielen Dank für die ausführliche Beschreibung. Nur aus Neugier: Hast Du den Vorfall angezeigt bei der Polizei? Das wäre wahrscheinlich die einzige Möglichkeit, dass die Betrüger verfolgt werden, auch wenn die Erfolgsaussichten vermutlich gering sind.

Thomas Kahle :verified: replied to Stephan

@StephanB

Bisher nicht. Sollte ich vielleicht? Oder auch irgendeine Datenschutzbehörde?

Th.Hampel replied to Thomas Kahle :verified:

@tomkalei @StephanB Ja bitte anzeigen. Schon allein der Statistik wegen. Gern auch mit Meldung an Heise die ggf einen Artikel daraus machen wollen

Webschau Datenschutz replied to Th.Hampel

@tha @tomkalei @StephanB

Ich denke auch, dass eine Anzeige gut wäre.

Bei der Datenschutzbehörde sollte es bereits durch Expedia gemeldet worden sein. Aber es schadet sicher nicht, sich dort auch als Betroffener zu melden. Zuständig wäre wohl die irische Behörde, aber als Verbraucher würde ich mich in dem Fall einfach an die Behörde meines Bundeslandes wenden.

Die Idee, den Fall mal bei @heisec zu melden, finde ich auch gut.

Flexi Bell :vf: replied to Th.Hampel

@tha @tomkalei @StephanB Und das gesamte #teamdatenschutz interessiert das sicherlich auch.

Stephan replied to Thomas Kahle :verified:

@tomkalei Ich fände super, wenn Du das anzeigen würdest, insbesondere wo Du die Dokumentation ja quasi schon gemacht hast.

Wahrscheinlich wird das nicht zu einer Bestrafung der Täter führen, weil sie sich nicht ermitteln lassen. Aber der Fall landet in der Statistik. Sonst heißt es nämlich "No ticket, no problem".

Pink replied to Stephan

@StephanB @tomkalei Spar dir die Mühe. Das interessiert absolut keine Sau. Ich betreibe ein Hosting-Unternehmen. Einkäufe mit gefälschten Daten passieren dort fast täglich. Wir erkennen das natürlich und reagieren entsprechend, aber interessieren tut das niemanden. Die kommen aus nem anderen Land, da kann man nicht so einfach was machen, ist halt so, tja. Wundert mich seitdem nicht mehr, dass es überall so von Scam wimmelt. Macht ja keiner was gegen.

Axel Gutmann replied to Thomas Kahle :verified:

@tomkalei Wenn ich recht verstehe, gab es doch noch eine zweite Transaktion, die nicht aktiv bestätigt worden war? Zumindest die sollte doch widerrufbar sein.

Thomas Kahle :verified: replied to Axel

@virbonus Ja, die Transaktion wurde im genau 24h Abstand 2x ausgeführt. Vermute, dass das irgendeine Funktion von VISA ist, dass man die gleiche Autorisierung in irgendwelchen Fällen 2x nutzen kann.

Axel Gutmann replied to Thomas Kahle :verified:

@tomkalei Das wäre aber eine Riesenlücke, dass jeder, der eine Transaktionsautorisierung hat, dann noch einen Freischuss kriegt …

Thomas Kahle :verified: replied to Axel

@virbonus

Keine Ahnung.

Ich habe beide Transaktionen bei der Bank reklamiert und dann nach der ersten Ablehnung meine ganze Beschreibung hingeschickt. Die prüfen das jetzt.

Arne Babenhauserheide replied to Thomas Kahle :verified:

@tomkalei dann hast du ja immerhin 60€ für deine Arbeitszeit bekommen … nehmen Sicherheitsexperten nicht eher das drei- bis fünffache, wenn sie Firmen helfen, so einen Angriff aufzudecken?

Thomas Kahle :verified: replied to Arne

@ArneBab

Wenn sie beauftragt werden wirds sicher teuerer als ein paar Expedia Points…

benni replied to Thomas Kahle :verified:

@tomkalei krasser Vorgang. Aber kleine Anmerkung: E-Mail-Header kann man unter gewissen Umständen vergleichsweise leicht fälschen, ist also nicht zwingend, dass die das Email-System gehackt haben. Aber trotzdem durchaus wahrscheinlich, wenn sie ja eh im System waren um Deine Daten abzuziehen.

Thomas Kahle :verified: replied to benni

@benni

Hmm, OK.

Aber es gibt doch diese Kette wo der Server meines Providers am Ende reinschreibt woher er die Mail bekommen hat. Die Kette hatte Länge 3 Expedia -> Ankunft bei meinem Provider -> interne Filterung -> Inbox.

Wie bekommt man meinen Provider dazu da nicht die Wahrheit hinzuschreiben, woher die Mail zu ihm kam?

benni replied to Thomas Kahle :verified:

@tomkalei das hängt sehr davon ab was dein provider da alles an zusatzprotokollen aktiviert hat und von wem er überhaupt mails annimmt. das wird dann sehr schnell sehr komplex und ist nicht wirklich standardisiert. aber ja, ne gewisse legitimität hat das schon. wie gesagt, ich halte es tatsächlich in deinem fall auch für die wahrscheinlichere erklärung.

Thomas Kahle :verified: replied to benni

@benni

Ich denke es ist sicher, dass die Mail über dieses nachrichtensystem von Expedia gelaufen ist. Der echte Expedia Support hatte ja auch Zugriff auf diese Mails und hat mir fälschlicherweise bestätigt, dass sie vom Hotel kommen.

Go Up