Der Tag, an dem ein Vodafone-Callcenter nicht bei mir anrief

Vorab sei gesagt: es geht in diesem Artikel nicht explizit im Vodafone, auch wenn sich das Unternehmen im Mittelpunkt wiederfindet. Ich nutze das Unternehmen, weil der konkrete Sachverhalt im Zusammenhang mit ihm steht, die technische Komponente jedoch davon losgelöst betrachtet und auf alle anderen Unternehmen (vor allem aus der TK-Branche) übertragen werden kann.

Die Story: Auf meinem Smartphone (ich bin Firmenkunde bei Vodafone) rief die Nummer 030/688191970 an. Ich nahm an. Das darauf folgende Gespräch gebe ich aus dem Gedächtnis wieder:

Guten Tag, mein Name ist Erika Mustermann von Vodafone.
Ich kann Ihnen heute eine große Barauszahlung oder ein neues Smartphone bei einer Vertragsverlängerung anbieten. Bitte geben Sie mir ihr Kundenkennwort, damit ich den Vertrag prüfen kann.

Das war ein großer Spaß. Sehr grenzwertig. Seit wann erhalte ich große Barsummen bei einer Vertragsverlängerung? Warum weiß Erika nicht, dass meine nächste Vertragsverlängerung erst in 19 Monaten ansteht und es keinen Sinn ergibt, mich jetzt anzurufen? Warum will Erika mein Passwort?

„Lassen wir das mal.“. Ich beendete das Gespräch höflich, fragte aber im Anschluß sofort aus Interesse den Vodafone 24-Stunden-Service auf Twitter, ob so eine Gesprächsführung ihre Richtigkeit hat. Und da schau an, es war gar nicht Erika von Vodafone, sondern scheinbar ein Betrugsversuch.

An dieser Stelle wurde die Sache richtig interessant, wirft sie doch einige Fragen auf:

  • Hat Vodafone keine Standards, wie „Shops mit eigenem Callcenter“ im Namen von Vodafone mit den Kunden umzugehen haben? Ich meine, alleine schon die erste Antwort des Twitter-Teams ist doch beängstigend, wenn man annimmt, das könnte ein Shop gewesen sein.
  • Weiß Vodafone etwa nicht, wer sonst noch so mit deren Kundendaten rumhantiert? Sowas muß man doch sofort prüfen können. Schon im Interesse des Schutz der eigenen Kunden.
  • Wie kann man als Vodafone-Kunde sicher sein, mit Vodafone zu sprechen, wenn Erika sagt, sie ruft im Auftrag von Vodafone an?

Frage 1 und 2 lasse ich einmal unbeantwortet. Vielleicht liest ja jemand von Vodafone diesen Beitrag und sagt mal was dazu.

Hinsichtlich Frage 3 kam aber noch schön Bewegung in die Sache, denn nach dem Dialog auf Twitter erhielt ich plötzlich folgenden Anruf:

Und dann kam noch eine SMS mit diese innovativen Vertragsverlängerungsoption bei mir an:

Hinter dem zweiten Anruf und der SMS steckte ein Freund, der den Twitter-Dialog verfolgte und mir eine kleine Demonstration lieferte, wie verifizierbar Anrufe von Hotlines für Kunden sind: nämlich gar nicht. Verlangen z.B. Banken und Telekom-Anbieter immer Telefonpasswörter ihrer Kunden, hat man als Kunde quasi keine Möglichkeit, das Gegenüber zu validieren. Wie oben genanntes Beispiel zeigt, kann einfach jemand bei mir anrufen, behaupten im Auftrag von der Müller-Meyer-Schulze Ltd. anzurufen und versuchen, vertrauliche Daten abzufragen.

Möglich macht das scheinbar die Option, in den VoIP-Einstellungen der Telefonanlage die anzuzeigende Rufnummer manuell zu manipulieren. Konnte man früher seine Rufnummer entweder anzeigen oder unterdrücken, ist diese dritte Option hinzugekommen.

Insbesondere vor dem Hintergrund der telefonischen Vertragsschließung bekommt dieser technische Aspekt eine erhebliche Relevanz: wir kann ich als Kunde sicher sein, den Vertrag mit dem richtigen Vertragspartner zu schließen? Wie kann ich sicher sein, meine persönlichen Daten überhaupt einem Vertragspartner mitzuteilen?

Gibt es Möglichkeiten, sich zu schützen?
Die einfachste Methode ist sicherlich, jegliche Gespräche mit Hotlines zu vermeiden und Anrufe konsequent zu beenden. Dies sollte geschickterweise mit dem Hinweis geschehen, dass man sich ja nicht davon überzeugen kann, wirklich mit dem Unternehmen zu sprechen und das gegenüber um Verifizierung zu bitten. Das dürfte zu Irritation auf der anderen Seite führen und langfristig evtl. zu einem Umdenken bei den Unternehmen.

Alternativ kann man sich den Spaß antun und sich ein fiktives, falsches Kundenpasswort zurechtlegen. Kommt dann der Moment der Abfrage, man nennt sein Passwort „LMAA0815“ und der Gegenüber gibt keinen Hinweis auf Falscheingabe, kann man sicher sein, Opfer eines Betrugsversuchs zu sein.

Grundsätzlich kann ich auch aus eigener Erfahrung davon abraten, jedwede Vertragsangelegenheit via Telefon zu schließen. Das vorgenannte Beispiel hat mir einmal mehr gezeigt, wie leicht ein Betrugsversuch stattfinden kann.

  1. Tim Brettschneider

    Interessant und habe ich häufig, das geht noch viel perfider.
    Viele Agenturen nutzen die Google Masche, Man kann von außen mit diversen Tools schnell ermitteln ob die Webseite Adwords schaltet, auf welche Keywords. Zudem kann man simpel ermitteln wie die Google Analytics ID des Unternehmens ist.

    Mit diesen Informationen überzeugt man den abgerufenen das man von Google sei. Dann werden Adwords Konten gekapert, Kreditkarten Infos abgefragt und mehr.

  2. Tim Brettschneider

    Bei mir gibt es daher für Anrufe und Verifizierung des Anrufers Richtlinien.
    Ich kenne einen Fall da hat sich der Anrufer als 1und1 Mitarbeiter ausgegeben und ist so an die hosting Zugangs Daten gelangt.

  3. Jan C. Rode

    Eine Masche ist auch, offene, genuschelte Fragen gestellt zu bekommen, auf die man dann nahezu reflexartig mit „Ja“ antworten. Unter Umständen wird die Antwort herausgeschnitten und der Dialog derart umfrisiert, als hätte man dadurch einem kostenpflichtigen Angebot zugestimmt.

  4. Barbara Hogan

    Vielen Dank für diese ausführliche Information!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

11 + 10 =