Skip to main content
Warum O2
Warenkorb
Service

Hallo zusammen,

ich habe versucht diesen Fall nicht öffentlich zu klären, allerdings sehe ich dies mittlerweile notwendig um Andere zu warnen.

Am 10.06.2024 wurden wir leider Opfer von Phishing. Mit einer höchst raffinierten Masche (wird hier nicht genannt, um keine Tipps zu generieren) wurde sich Zugang zu unserem O2-Kundenkonto verschafft. An dieser Stelle sei zu erwähnen, dass der Zugang zum Online Portal mit einem einfachen Code vom Handy ohne Passwort möglich ist. IT-Sicherheitsfachkräfte schreien da auf. Würde man zusätzlich zumindest einen Link über eine E-Mail verschicken, wäre das System deutlich sicherer (und ich hätte den Link erhalten und hätte vorher reagieren können).

Nun zum Ablauf.

17:02 Uhr: Betrüger verschafft sich Zugang zum Konto
17:04 Uhr: Betrüger bestellt E-SIM für eine unserer Nummern


Ich bekomme diese Benachrichtungen auf mein Handy, erkenne die Situation und reagiere sofort. Ich ändere das Passwort und logge alle  eingeloggten Geräte vom O2 Konto aus. Anschließend rief ich umgehend die O2-Hotline an. Diese Gespräche wurden übrigens von einem Zeugen mitgehört und werden ja ohnehin von O2 aufgezeichnet. Sollte sich im möglicherweise folgenden Rechtsstreit also nachvollziehen lassen.

17:19 Uhr: ich bin mit der Hotline verbunden, schildere den Fall. Dort wird mir mitgeteilt, dass eine E-SIM für eine Telefonnummer von uns aktiviert wurde. Diese wurde dann sofort gesperrt. Auf Nachfrage, ob bereits eine Zahlung getätigt wurde, wurde uns gesagt “Nein, machen Sie sich keine Sorgen Herr XY. Sie haben rechtzeitig reagiert.”. Ich fragte außerdem, ob eine weitere E-SIM für eine andere Nummer aktiviert wurde. Dies wurde mir mit einem eindeutigen “Nein” beantwortet.

Nach dem Telefonat schaute ich nochmal ins Kundenkonto. Die E-SIM war tatsächlich schon wieder gesperrt (ist sie bis heute), aber dann der nächste Schock: entgegen der Aussage der O2-Hotline-Mitarbeiterin wurde doch eine E-SIM für unsere andere Telefonnummer aktiviert. Also wieder anrufen.

18:38 Uhr: endlich mit einem Mitarbeiter verbunden. Ich schildere wieder den Fall. Er sperrt auch die zweite E-SIM. Ich frage erneut nach, weil ich ein Skeptiker bin, ob bereits Bestellungen über die E-SIM getätigt wurden. Auch hier wieder ein klares “Nein. Machen Sie sich keine Sorgen.”

Daraufhin habe ich nochmals das Passwort geändert, alle Drittanbieterdienste präventiv für die Zukunft gesperrt. Im Konto sah ich auch, dass die 2. E-SIM gesperrt wurde (auch diese wurde bis heute nicht mehr aktiviert). Also alles gut? Dachten wir zunächst.

Ende des Monats kam dann die Rechnung mit zusätzlichen Kosten von knapp 300 €. Über beide E-SIM Karten wurden jeweils 2 Käufe im Playstation Store getätigt (also 4 Käufe insgesamt ). Der letzte Kauf wurde um 18:20 Uhr abgewickelt. Betrachtet man jetzt die von mir oben angegebenen (nachweisbaren) Uhrzeiten, ist dies doch höchst interessant.

Mir stellen sich da viele Fragen:

  • warum haben die Supportmitarbeiter keinen Einblick in Echtzeitdaten, versichern aber (eindeutig!), dass sie es hätten?
  • Was lief da bei der Deaktivierung schief?
  • Wie konnte die erste Supportmitarbeitern die zweite E-SIM übersehen?

Für mich als Softwareingenieur stellt sich auch vorallem die Frage nach einer fehlerhaften Datenverarbeitungen (die Serverlogs würde ich an dieser Stelle gerne mal sehen). Das Ausloggen von allen Geräten scheint ebenfalls nicht zu funktionieren (die Session scheint bestehen zu bleiben). Werden die Daten für eine Online-Einsicht gesperrt, gilt dies nur für die Desktopvariante, mobil alles weiterhin schön einzusehen. Dies zeugt von einer enormen Sicherheitslücke und katastrophalem Umgang mit Kundendaten.

Nach weiteren Kontaktaufnahmen, schiebt O2 die Verantwortung komplett an Sony ab (die schieben natürlich zurück). Das Einzige was O2 mir zukommen lassen hat, ist ein sinnbefreiter Einzelverbindungsnachweis. Sinnbefreit deshalb, weil diesem keinerlei weiteren Transaktionsdetails zu entnehmen sind, also nur: Betrag, Datum, Uhrzeit und dass die Zahlung vom Playstation Store kommt.

Ich gebe O2 jetzt nochmal hier die Möglichkeit den Fall zu klären. Der Verbraucherschutz und die einschlägige Verbraucher- und Tech-Presse hätten auch Interesse an Ihrem weiteren Vorgehen.

Wir sind mittlerweile seit über 12 Jahren treue Kunden bei O2 - das wird sich in Zukunft leider ändern.

 

Mit freundlichen Grüßen

Markus (Pseudonym)

Die Presse berichtet schon über solche Phishing-Aktionen. Ich denke nicht, dass dein Fall etwas besonderes ist.

Wie hast du bisher Kontakt mit o2 aufgenommen? Nutze am besten das Kontaktformular um deine Forderung geltend zu machen: https://www.o2online.de/service/kontaktformular/

Du hast dich bereits bei der Verbraucherzentrale beraten lassen? Was hat man dich dort geraten?


Moin,

wurden die Punkte hier durchgeführt:

 


Diese Gespräche wurden übrigens von einem Zeugen mitgehört und werden ja ohnehin von O2 aufgezeichnet. Sollte sich im möglicherweise folgenden Rechtsstreit also nachvollziehen lassen.

@markuswexel

ein Zeuge mag nützlich sein,

die theoretischen Aufnahmen nicht.

O2 nutzt Aufnahmen zu Schulungszwecken und löscht zeitnah.

 

sind die Drittanbieter inzwischen gesperrt?


 

Wir sind mittlerweile seit über 12 Jahren treue Kunden bei O2 - das wird sich in Zukunft leider ändern.

 

Warum, bist du doch selber Schuld wenn du dir als Softwareingenieur deine Daten angeln lässt.


Nicht vergessen darf man die Grundlage von solchen Dingen.

Hacking = Kunden unbeteiligt, Firma wird durch IT-Schwachstelle gehackt, Kunde ist leider Opfer

Pishing = Kunde ist beteiligt und die Schwachstelle. Ohne den Kunden als Schwachstelle gibt es kein Problem!

Wie das abläuft ist von Banken und aus o2-Warnungen bekannt. Beispiel von vor einem Jahr:

Natürlich muß o2 den Kunden dann wegen seinem Fehlverhalten unterstützen. Leider sind dann Probleme mit anderen Kostenstellen wie Google und Sony oft vom Kunden zu klären und wenn das ausbliebt, dann bleibt auch der finanzielle Schaden.


Wenn man im Thema “drin” ist, als Softwareingeneur, begreife ich nicht, wie man auf Pishing reinfallen kann. Alles, was hier passiert ist, ist am Ende deine Schuld. Klar, das hilft dir nicht, aber es ist so. Man kann hier O2 keinen Vorwurf machen und das Drohen mit Presse und Verbraucherzentrale beeindruckt sowieso niemanden, Das versuchen irgendwie viele, weil sie meinen, damit ein Druckmittel zu schaffen, was aber definitiv keins ist.


Hallo @markuswexel🙂

ich bin auch immer schockiert, wenn es um Betrug geht, und es ist keine schöne Situation, Opfer zu werden. Ich habe einen Blick ins Kundenkonto geworfen und muss dich loben, dass du so schnell reagiert hast. Zwar konnten jeweils 2 Playstore-Bestellungen noch durchgehen, aber hättest du nicht sofort gesperrt, wäre die Summe um ein Vielfaches höher ausgefallen.

Schluej hat dir einen guten Link gegeben, was du machen kannst.
Wichtig ist, dass du eine Anzeige gegen Unbekannt machst und dann das Formular zum Identitätsmissbrauch an uns schickst. Berichte uns gerne vom weiteren Verlauf.

Liebe Grüße, Maren 🌼


Hallo Markus,

wenn du als Programmierer oder IT-Sicherheitsexperte verstehen möchtest wie irgendeine App mit genügend Rechten auf deinem Handy, ohne dass du eine Chance hast das zu verhindern, eine SMS für den o2online.de Login stiehlt und an einen Dieb weiterleitet, siehe hier https://www.zscaler.com/de/blogs/security-research/android-banking-trojan-and-sms-stealer-floating-wild oder auch hier https://www.zscaler.com/de/blogs/security-research/android-infostealer-posing-fake-google-chrome-update . Das ist zwar in Englisch aber es zeigt wie wenige Zeilen ein Android App Programmierer braucht um sich nur ganz bestimmte SMS ins Internet duplizieren zu lassen. Z.B. die App holt sich ganz selten mal eine Liste von Telefonnummern für deren Anrufe sie das duplizieren von nur ganz bestimmten SMS auslöst. Damit fällt sie niemals auf. Schau mal in deiner Anrufliste, ob zu genau der gleichen Minute, als die SMS für die Anmeldung bei o2online.de kam, auch ein Telefonanruf ankam. Auslesen kann man die empfangenen SMS ganz einfach mit ‘content://sms’. Dazu siehe z.B. hier https://developer.android.com/reference/android/provider/Telephony.Sms.Inbox . Das Rausschicken ist genauso einfach.

Wird der Google Playstore eine solche Programmstelle erkennen, vermutlich nicht. Ist zu finden in welcher App so was programmiert ist, vermutlich auch nicht. Wir haben zur Zeit eine Flut von Apps für Rabatte die irgendwo auf der Welt programmiert werden und die in Deutschland jeder installiert. Ich kenne auch einen Fall, ähnlich zu deinem, auch im Oktober und sogar ganz ohne Phishing. Der Schaden ist ähnlich. Der Diebstahl hat 12 Minuten gedauert. In der Zeit kannst du nichts verhindern. Wie die App zu den Rechten kommt sich für SMS auslesen zu registrieren, kann über mehrere Wege gehen. 

Ist der Dieb über o2online.de und SMS in deinem Vertrag ist der Rest klar. Neue eSIM ohne Post oder EMail, SIM Swap damit die weiteren SMS für Freigaben gleich direkt auf der neuen eSIM ankommen und nicht mehr dir, 3rd-Party freischalten, bestellen. SMS gehen nämlich auf eine SIM Karte, nicht auf eine Telefonnummer. Als Multi-SIM Benutzer weißt du das. Der Erfolg steht dann auf der Lastschrift.

Hoffe das trägt zu deinem grundlegenden Verständnis von SMS Programmierung bei.

Dein Diebstahl kann natürlich auch anders sein und andere Wege an SMS Inhalte zu kommen gibt’s auch. Die müssen irgendwo abgeschickt werden und haben einen langen Weg zu dir. Du wolltest ja auch Serverlogs haben.

Viele Grüße

ProgrammiererR (auch Pseudonym 🙂 )


 

Ich kenne auch einen Fall, ähnlich zu deinem, auch im Oktodauerhaftes-sperren-von-www-o2online-de-fuer-eine-telefonnum

 

Sicher das du es nicht bist? Hier schreibst das ihr Mahnungen bekommt.

https://hilfe.o2online.de/o2-mobilfunk-vertrag-tarife-15/dauerhaftes-sperren-von-www-o2online-de-fuer-eine-telefonnummer-644930


@Sandroschubert 

 


@schluej habe ich doch bereits verlinkt.


Hallo ​@ITSecurityConsultant ,

vielen Dank für deinen ausführlichen Beitrag dazu.
Auf deinen eigenen Beitrag, der hier verlinkt wurde, habe ich soeben geantwortet.

Viele Grüße Maria


Deine Antwort