Ich habe über Expedia eine Übernachtung in einem durchautomatisierten Hotel gebucht, so MacÜbernachtung ohne Rezeption, wo man nie einen Menschen trifft. Bezahlung direkt ans Hotel.
In der Zeit zwischen Buchung und Anreise kommen immer mal wieder von Expedia komische Mails wie diese hier:
Diese Mails kommen wirklich von Expedia. Ich habe das überprüft. Die Mailadresse da ist auch wirklich ausgestrichen, wahrscheinlich weil Expedia nicht will, dass das Hotel irgendwie direkt mit mir kommuniziert, sondern nur über sie.
Man ist an solche Mails einfach schon total gewöhnt oder. Hinten und vorne stimmen Sachen nicht, aber mei, man muss halt auch mal was anderes machen.
Neben weiteren legitimen “Wir freuen uns schon auf deine Anreise Mails” kam dann aber auch irgendwann das hier.
OK. An dieser Mail ist alles falsch, z.B. kommt sie genau an einem Freitag abend um 19 Uhr mit einer 48h Deadline daher. Außerdem versucht sich mich auf eine URL zu lenken, die nicht zu Expedia gehört und über die wenig im Netz bekannt ist. Und direkt unter der eingebetteten Nachricht schreibt Expedia, warum man da nie Kreditkartendaten eingeben sollte.
Ich denke Expedia hat hier ein Problem und beschließe sie zu benachrichtigen. Vorher rufe ich noch das Hotel an, aber da ist nur eine KI dran. “Wollen sie buchen oder eine bestehende Buchung bearbeiten?” Bei Expedia erreiche ich echte Menschen (zunächst per Chat) und werde auch ziemlich schnell zur „Eskalationsabteilung“ durchgereicht.
Der Expedia Chat wird übrigens live übersetzt, d. h. man chattet auf Deutsch und die Person am anderen Ende auf Englisch. Die Erfahrung ist selbstverständlich eine absolute Katastrophe. Nach einigem betteln bekomme man aber wen ans Telefon. https://machteburch.social/@tomkalei/112237352281709077
Die Expedia Mitarbeiter sind aufgeschreckt durch meine Aussage, ich würde Phishing Mails von ihnen erhalten. Deshalb prüfen sie in ihrer internen Datenbank, ob diese Mail die ich erhalten habe wirklich über Expedia-IT gegangen ist.
Die Antwort ist ja. Sie sehen die Nachricht und bestätigen mir, dass es sich um eine legitime Nachricht vom Hotel handelt.
Ich bringe Argumente vor wie z.B. dass direkt darunter steht, dass man dort keine Zahlungen vornehmen soll. Das wird weggewischt wie: Ja, aber irgendwie muss man ja zahlen, geht schon.
Die Frau am Telefon klickt sogar selbst auf den Link und landet auf der Seite der Betrüger. Da läuft ein normaler Bezahlprozess, also so eine Eingabemaske für Kreditkartendaten mit KI-Chat-Option rechts unten. Sieht alles wie bei Expedia aus.
Das Problem ist jetzt, dass sie nicht glaubt, dass Expedia ein Problem haben könnte. Sie will nur _mein_ Problem lösen, nicht ihrs (sie hat keins!) Sie bietet mir Lösungen für mein Problem an: Stornieren Sie doch und buchen sie die gleiche Kategorie neu mit Zahlung direkt über Expedia, oder zahlen sie halt direkt auf der Seite, es macht keinen Unterschied.
Jetzt ist es schon nach 23 Uhr und ich werde müde von 40 Min am Telefon mit diesen Leuten. Also gebe ich auf und bezahle da. Vielleicht ist es ja doch einfach nur eine absolut scheiss-IT Lösung aber wenn es über Expedia gekommen ist, wird es schon stimmen. Und, wichtig: Die Betrugsseite hat meinen echten Rechnungsbetrag vorrätig (und Namen auch). Das ist schon soweit personalisiert.
OK, die Zahlung pre Kreditkarte, verified by VISA, wird sofort gebucht, alles gut. Einzige kleine Unstimmigkeit: Der Betrag war 77,38 EUR und gebucht werden 77,00 EUR.
Ich gehe schlafen. Am Samstag abend, 24h später werden nochmal 77,00 EUR gebucht. Ob das nur so Reservierungen für Buchungen sind oder echte Buchungen kann man erst am folgenden Bankarbeitstag sehen, also denke ich mir nichts dabei. Scheiss-IT halt.
@tomkalei so eine Mail hatte ich im Dezember von booking.com, die waren gehackt, so dass solche Zahlungsaufforderungen auch direkt von meinem Hotel aus dem System mit allen meinen Reservierungsinfos kamen. Ich war auch misstrauisch und habe erst mal eine böse Mail ans Hotel geschrieben (auch über booking.com) die mir dann gesagt haben, dass das nicht von ihnen kommt und ich nichts bezahlen soll. Viele andere Leute sind bei der Masche wohl Opfer geworden.
Am Montag stelle ich fest, dass beide Zahlungen finalisiert sind, also 2x77 EUR abgebucht. Es wird mir klar, dass es sich um Betrug handeln muss, aber wieso kommt dieser Betrug über die Expedia-IT?
Ich rufe am 8.4. wieder Expedia an und arbeite mich bis zur englischsprachigen Eskalationsabteilung durch. Der Mitarbeiter ist jetzt schon etwas vorsichtiger und versteht auch das Problem. Er lässt sich die Transaktionsdaten der doppelten Abbuchung zeigen und kann bestätigen, dass dies nichts mit Expedia zu tun hat.
Aber es steht ja noch im Raum, dass das Hotel das gemacht hat. Laut Buchung hatte Expedia ja sowieso nichts mit der Zahlung zu tun. 10 Minuten brauche ich um zu erklären, dass es sich nicht um ein Problem mit einer doppelten Abbuchung dreht, sondern dass beide Betrug sind.
Weitere 10 Minuten lang bietet er mir wieder an, dass ich Stornieren und über Expedia zum garantiert gleichen Preis neu buchen könnte.
Am Dienstag 9.4. erhalte ich dann eine E-Mail vom Hotel!
“Es tut mir leid, dass Du von dem Datenschutzverstoß betroffen warst.” “Am 05.04. sind wir über die Phishing Mails, die von Expedia verschickt wurden aufmerksam geworden. Wir haben dies unverzüglich Expedia gemeldet, da die Mails seitens Expedia verschickt wurden und nicht von uns.”
Wenig später folgt auch Expedia mit der nach DSGVO verpflichtenden Nachricht:
Es ist einfach außerhalb der Vorstellungswelt dieser Leute, dass es ein IT-Sicherheitsproblem da irgendwo gibt. Da sind Daten abgeflossen. Die Angreifer haben meinen Buchungsbetrag, Namen und können Mails über Expedia-IT schicken!
Nach einiger Diskussion wird er auch stutzig und verspricht mir, sich darum zu kümmern. Ich sperre derweil meine Kreditkarte und beantrage Chargeback usw.
Also sind anscheinend doch Daten bei Expedia abgeflossen? Jedenfalls haben sie den Zugang zu ihrem Mailsystem unbefugten Dritten erlaubt. Mein Name und meinen Zahlbetrag kann man aus unverschlüsselten Mails abschnorcheln, da ist kein Einbruch nötig.
In der Folge ruft mich Expedia noch mehrfach an und empfiehlt mir, den Chargeback auszulösen und die Kreditkarte zu sperren, was ich ja alles bereits getan hatte.
Am 16.4. wird der Chargeback von der Bank abgelehnt, da ich die Transaktion per Smartphone autorisiert hatte. Da kann man sich jetzt auch noch beschweren und erst dann wird es von einem echten Menschen überprüft.
Ich leite diese Nachricht an Expedia weiter, die mir daraufhin aber unverzüglich die 154 EUR EUR erstatten sowie noch Expedia-Punkte im Wert von ca. 60 EUR gutschreiben.
Von meiner Seite aus ist finanziell nun alles geregelt, aber die Betrüger können anscheinend ihr Geld behalten? Oder wer kümmert sich denn jetzt noch darum das zurückzubuchen? Die Betrüger benutzen übrigens den Zahlungsdienstleister “Remitly”. Ob das bei denen irgendwen interessiert?
Für mich bleibt die Einsicht, dass mein Instinkt noch funktioniert hat, aber wenn die große Organisation sagt “ist schon alles gut so” und man dann noch müde ist, dann gibt man irgendwann doch die Vorsicht auf.
"When I was young, we used to compile our own operating systems.” Das stand schon ganz früh in meiner Twitter Bio und stimmt sogar :gentoo: