Even InfoSec pros run into telephone scam artists

Selbst Sicherheitsprofis fallen auf Telefonbetrüger herein

Zwei Jahre lang war ich zufriedener Nutzer eines Unitymedia-Pakets mit Internet-, Telefon- und Fernsehanschluss. Als ich vor zwei Monaten umzog, wollte ich meinen Anschluss daher mitnehmen. Vom Anbieter bekam ich allerdings die Info, dass ich für meine bisherige Monatsgebühr zwar meinen Internet- und Telefonanschluss behalten könne, der Fernsehanschluss am neuen Wohnort aber weitere 20 Euro pro Monat kosten würde. „Wer hat denn in Zeiten von Netflix und anderen Streamingdiensten noch Zeit für konventionelle Fernsehprogramme?“, fragte ich mich. Also beschloss ich, die 20 Euro zu sparen und auf den Fernsehanschluss zu verzichten. Alles war wunderbar, bis…

Guten Tag, ich hätte da ein Angebot für Sie

Eines Tages bekam ich einen Anruf von einem Unitymedia-Mitarbeiter. Da der Anrufer nur Deutsch sprach und meine Deutschkenntnisse für ein ausführliches Gespräch noch nicht ganz ausreichen, bat ich meine deutsche Kollegin darum, ein wenig zu dolmetschen. Der Unitymedia-Mitarbeiter erzählte mir, dass er mir einen zusätzlichen Fernsehanschluss anbieten könne, und zwar ohne Extrakosten. Anscheinend wusste er genau, worauf es mir ankam. Um die Sache etwas zu beschleunigen, nannte er mir zum Abgleich einige meiner Daten wie Rechnungsadresse, E-Mail-Adresse, Geburtsdatum und Unitymedia-Kundennummer. Mein Gesprächspartner war zuvorkommend und freundlich, und ich war mit dem Gespräch absolut zufrieden. Um meinen Fernsehanschluss freischalten zu können, bat er mich schließlich, ihm die IBAN für mein Konto durchzugeben. Angeblich habe er sie bereits, dürfe sie aber nicht am Telefon nennen, sodass ich sie erneut bestätigen sollte.

Alle Alarmglocken schrillten

An diesem Punkt schrillte die erste Alarmglocke in meinem Kopf. Da sowohl meine Kollegin als auch ich sehr viel Wert auf Sicherheit legen, sahen wir einander etwas verdutzt an, worauf sie den Anrufer fragte: „Wozu brauchen Sie die IBAN?“ Die folgenden Erklärungsversuche waren wenig überzeugend, und schließlich gab der Mann den Hörer an einen anderen Mitarbeiter weiter. Dieser andere Herr sagte nur, dass er die IBAN aus rechtlichen Gründen brauche. Erläutern könne er uns das zwar nicht, müsse aber dennoch darauf bestehen, dass ich die IBAN rausgebe. Wir lehnten ein weiteres Mal höflich, aber bestimmt ab. Da wir immer noch davon ausgingen, dass die Personen, mit denen wir gesprochen hatten, tatsächlich von Unitymedia waren, baten wir sie darum, mir eine E-Mail mit ihrem Anliegen zu schicken, damit ich meine finanziellen Informationen nicht übers Telefon weitergeben musste.

Erhitzte Gemüter

Der bereits leicht aufgebrachte Herr antwortete, dass er das tun könne, diese E-Mail aber leider nicht von seinem Unitymedia-Konto, sondern von seiner privaten E-Mail-Adresse senden würde. Augenblicklich läutete Alarmglocke Nummer 2 und uns beiden war klar, dass es sich hier um eine Betrugsmasche handelte. Inzwischen war der Mann hörbar verärgert und schrie uns beinahe an, was für ein Fehler es sei, sich einen kostenlosen Fernsehanschluss entgehen zu lassen, weil man seine IBAN nicht herausgeben wolle. Immerhin halte er sich ja nur an die Unternehmensrichtlinien und sei von seinem Chef beauftragt worden, mir den Fernsehanschluss anzubieten. Wir legten einfach auf – und hörten nie wieder was von den Anrufern.

Nummer nicht bekannt

Direkt nach diesem Gespräch erkundigte ich mich auf Twitter bei der Unitymediahilfe nach der Nummer des Anrufers. Unitymedia antwortete mit seinem offiziellen Twitter-Profil, dass die Nummer dem Unternehmen nicht bekannt sei. Hier geht’s zum Twitter-Feed:

Fast wäre es schief gegangen

Am Ende konnte ich einen finanziellen Schaden dank meines Sicherheitsbewusstseins verhindern – auch wenn ich nicht ganz sicher bin, was die Betrüger mit meiner IBAN hätten erbeuten können. Schockierend war, wie viele Daten und Informationen die Anrufer über mich gesammelt hatten. Ich bekomme von Unitymedia keine Papierpost, es kann also nicht sein, dass jemandem ein Brief mit meinen Daten in die Hände gefallen ist. Wir wissen nur, dass die Informationen irgendwo durchgesickert sind, aber nicht, wo.

Auch Sicherheitsprofis sind angreifbar

Obwohl ich in einem Sicherheitsunternehmen arbeite und für Sicherheitsthemen sensibilisiert bin, hat mich dieser Betrüger fast erwischt. Wie gefährdet sind dann andere Menschen, die (fälschlicherweise) davon ausgehen, dass sie kein attraktives Ziel für Betrüger und Hacker abgeben? Fakt ist, dass jeder überall und jederzeit in eine solche Situation geraten kann. Und genau deshalb müssen wir Vorsichtsmaßnahmen treffen, um unsere Geräte und unsere Privatsphäre zu schützen. Das beginnt im Wesentlichen mit dem Wissen, welche Informationen wir teilen sollten – und welche nicht.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch