Phishing nach meinem Vodafone-Passwort

Gestern, am Samstag, wurde ich beinahe eiskalt erwischt. Jemand mit der Nummer 0172/12724 hatte auf meinem Handy angerufen und keine Nachricht hinterlassen. Ich rief zurück, in der Annahme, es sei ein Kontakt, den ich längst dringend erreichen wollte. Doch es meldete sich eine Männerstimme mit “Vodafone-D2-Kundenbetreuung”.

Genervt ob meines Irrtums (na, super, dachte ich, die wollen mir wieder irgend so einen Mist anbieten) fragte ich nach dem Grund ihres Anrufs. Der Mann am anderen Ende wollte wissen, ob ich denn tatsächlich Britta Freith-Doppelname sei. Als ich bestätigte (ich stutzte nicht, denn nur mein Arzt, die Bank, Telefongesellschaften und die Behörden kennen meinen zweiten Namen), fragte er nach meinem Telefonpasswort.

Da stutzte ich zum Glück. Ich wurde spontan so wütend, dass ich fragte, für wie dämlich er mich halte. Ich würde sicher nicht jemandem, der mich ursprünglich angerufen hatte, zuerst mein Passwort nennen. Der Mann wünschte mir noch einen schönen Tag und legte auf.

Komisch, was? Ich rief dann bei Vodafone an, schilderte den Fall und bekam heraus, dass die oben erwähnte Nummer bei Vodafone unbekannt ist. Zudem würde man nie am Anfang nach dem Passwort fragen, sondern erst, wenn man tatsächlich ein neues Produkt an den Kunden gebracht hätte. Man werde dem Fall nachgehen. Dass ich noch etwas davon hören würde, sei aber unwahrscheinlich.

Ich werde nachfragen, denn ich möchte sehr gern wissen, wie jemand an meine persönlichen Daten kommt (voller Name plus Telefonnummer). Wo ist die Sicherheitslücke? Welche Datenbank wurde geknackt?

Hoffentlich lesen das hier viele Vodafone-Kunden und sind gewarnt. Das wäre auch gut.

17. Juni 2012 von Britta Freith
Kategorien: Arbeitsalltag | 8 Kommentare

Kommentare (8)

    • Die Postings hinter den Links überzeugen mich gar nicht – ich sehe da auch keine Bestätigung. Vielleicht lese ich sie aber nur falsch? Eine Vodafone-Mitarbeiterin sagte mir ja gestern, die Nummer sei nicht bekannt.
      Wie auch immer: Ich werde morgen eine E-Mail nachsetzen und dann hoffentlich eine Antwort bekommen. Wenn ich mehr weiß, erzähle ich das natürlich.

  1. Wie kommen die Pfister denn an eine fünfstellige Vodafone-Nummer?

    • Tja, wie die an die Nummer kommen, kann ich nicht sagen. Ich kann nur erzählen, was passiert ist, und was man mir bei Vodafone dazu sagte.

  2. Äh: Phisher statt Pfister. Sch**ß-automatische Rechtschreib-Korrektur.

  3. hm vodafone. neulich ist in essen wieder mal ein vodafone eigenes callcenter geschlossen worden. die telefonisten werden outgesourct.
    was bedeutet das ? du rufst bei einer firma an, die für vodafone telefoniert, aber nicht vodafone ist.
    viel outsourcing bedeutet, viele firmen telefonieren für vodafone.
    wer erwartet dich nun auf der anderen seite der leitung, wenn du die kundenbetreuung anrufst, und fragst ob es die nummer xy wirklich bei vodafone gibt ? na ?
    tip: http://www.arvato.com/de/branchen-referenzen/telekommunikation/customer-solution-vodafone.html
    die werben sogar damit
    -> An inzwischen neun Standorten im In- und Ausland ist arvato heute mit 1350 Mitarbeiterinnen und Mitarbeitern für Vodafone tätig.

    woher soll telefonist der 1212 aus dem in oder ausland sämtliche nummern von vodafone kennen

    ich würde die frage nach dem kennwort folgendermaßen deuten: der mitarbeiter wollte sich vergewissern, die richtige person am apperat zu haben, bevor persönliche daten genannt werden. (datenschutz willst du nicht? soll jede freundin, die an dein telefon geht erfahren, ob deine letzte rechnung bezahlt wurde?)

    einen schönen tag wünscht man glaube jedem patzigem angerufenen, der fragt, wie dämlich man denn sei.

    also keine sicherheitslücke, keine datenbank geknackt, du warst wahrscheinlich nur zu unfreundlich
    da hätte sogar ein altes mannesmann callcenter aufgelegt

    am ende bleibt folgende frage im raume. glaubst du nicht, der anrufer kann dein kennwort sehen ?
    teste es doch einfach mal mit der frage: nennen sie mir den letzen buchstaben. oder mit der frage: nennen sie mir die letzen 2 ziffer meiner kontonummer
    unsichere “phishing-opfer” erlangen so vllt ihr vertrauen zurück, ob es sich um vodafone handelt. (oder um ein für-vodafone-operierendes-unternehmen)

    • Ich habe gar nicht bei der 1212 angerufen, sondern bei der Kundenbetreuung, die auch für Verträge zuständig ist. Dort hat sich die Mitarbeiterin die Mühe gemacht zu recherchieren, hat also konkret in einer anderen Abteilung nachgefragt. Dann erst (nach 10 Minuten etwa) kam die Antwort, die Nummer sei nicht bekannt.

      Selbst wenn es eine freie Firma gewesen sein sollte, war das Verhalten des Mitarbeiters extrem unprofessionell. Es fing damit an, dass er sich nicht korrekt meldete. Und er hat sich nicht die geringste Mühe gemacht, mir zu erklären, worum es tatsächlich geht. Und ist es nicht zudem seltsam, dass ich zig dieser Anrufe bekommen habe, und sogar dann, wenn ich an den Apparat ging, niemand am anderen Ende war? Erst als ich zurückrief, meldete sich jemand.

      Bei Vodafone selbst sagte man mir übrigens, dass erst Angebote gemacht würden und nur wenn der Kunde bereit sei, etwas am Vertrag zu ändern bzw. ein Produkt zu erwerben, würde nach den Zugangsdaten gefragt. Keinesfalls jedoch zu Beginn des Gesprächs, das sei extrem verdächtig.

  4. Wozu legt man ein persönliches kw fest? Damit eine legitimation gegeben ist. wie oben beschrieben kann ja jederx-beliebige anrufen und so unbrechtigt informationen bekommen bzw änderungen vornehmen. man stelle sich folgendes szenario vor : ein lebens- oder ehepartner trennt sich vom anderen und will seinem (r) ex so richtig einen mitgeben und will ohne kw den teuersten tarif mit den höchsten minutenpreisen einrichten…..

    Dafür gibts das kw damit die persönlichen interessen gewahrt bleiben. schliesslich muss man sich nur bei vodafone sondern bei allen telefonischen touchpoints in allen sparten, nicht nur im mobilfunk legitimieren.
    Stichwort : Arzt oder Bank ;-)

    Die kw-abfrage ist bei eingehenden gesprächen ZWINGEND vorgeschrieben. wird der kunde angerufen nur dann wenn zweifel hinsichtlich der identität bestehen oder wenn änderungen am vertrag gemacht werden sollen.

    Dass der ma sagt es sei keine vf nummer, mag daran liegen, dass er keine lust zu recherchieren.

    Ich hoffe, du kannst mit meinen infos was anfangen ;-)

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert