Wisst ihr, was eine „Drittanbietersperre“ ist? Ich wusste das bis Freitag nicht. Mit einer Drittanbietersperre verhindert man, dass Firmen über die Handyrechnung Dienste in Rechnung stellen können. So eine Art der Abrechnung kann nützlich sein – in der Heimatstadt meiner Frau können z.B. Parkgebühren übers Handy abgerechnet werden. Die Kosten fürs Parken tauchen so auf der Handyrechnung auf und man spart sich die Suche nach Kleingeld am Automaten. Damit ist es jetzt erst einmal vorbei, denn ich habe am Freitag für alle Mobilverträge im Hause Dorok globale Drittanbietersperren gesetzt. Das würde ich Euch auch empfehlen. Warum? Wieso? Lest selbst:
Herzlichen Glückwunsch, Dein ABO PREMIUM ZUGANG für 4,99 EUR/ 7 Tage wurde eingerichtet. Hilfe/Abmelden? www.bill-info.com
Ich denke, es ist unnötig, zu erklären, dass ich zu besagtem Zeitpunkt kein „PREMIUM ZUGANG“-Abo irgendwo abgeschlossen hatte. Wohl aber erhielt ich in der gleichen Sekunde eine Nachricht der Telekom, in welcher gemeldet wurde:
Die Eingabe oder Weitergabe der Transaktionsnummer (TAN) kann eine Zahlung auslösen. Bitte geben Sie folgende TAN ein: 1111
(Das ist natürlich nicht die TAN, die angezeigt wurde). Was ich zunächst für den üblichen SMS-Spam hielt, stellte sich schnell als tatsächlich abgeschlossenes Abo heraus. Über einen Anruf bei der in Düsseldorf ansässigen Firma BillInfo am Freitagabend um 18:37 Uhr war herauszufinden, dass für meine Handynummer tatsächlich ein Abo aktiv war. Kündigen konnte ich dieses Abo dort dann auch sofort – 4,99 Euro standen zu diesem Zeitpunkt jedoch bereits auf meiner Telekom-Rechnung.
Zwei Anrufe bei der T-Mobile-Hotline brachten lediglich zu Tage, dass die Telekom dieses Abo sieht und dass es gebucht wurde, wie, warum und von wem könne man nicht sagen, aber da hätte ich wohl einen Fehler gemacht und irgendein Banner angeklickt. Aber das könne nun ja nicht mehr passieren, da ich ja die Drittanbietersperre gesetzt habe.
Ein Banner geklickt? Und damit ein Abo ausgelöst? Während ich in der Konferenz saß? Nein, das hatte ich nicht. Ich habe kein Banner angeklickt und ich habe auch die TAN nirgendwo angegeben. Doch das war der T-Mobile-Hotline relativ egal, das Abo sei abgeschlossen, da könne man nichts machen, ich könne mich an BillInfo wenden, die wüssten, was das für ein Abo sei. Und über die könne ich auch eine separate Rechnung mit ausgewiesener Mehrwertsteuer bekommen, falls ich das für die Steuer bräuchte. (Kennt ihr das Gefühl, wenn man sich ver*rscht vorkommt, gleichzeitig aber merkt, dass man es mit einem sich selbst erhaltenden System zu tun hat, gegen das man sowieso keinerlei Chance hat?)
Tatsächlich hat BillInfo mir auf Anfrage erklärt, wofür sie 4,99 in Rechnung stellen. Am Freitag, 30.6.2017 wurde um 15:07 ein „WAP:PREMIUM ZUGANG“ für mein iPhone gebucht. Ein WAP-Abo. Für ein iPhone. Im Jahr 2017. Natürlich. Ähnlich sinnvoll wäre wahrscheinlich ein Abo für Thermopapier für mein Faxgerät gewesen…
Verantwortlich hierfür ist laut BillInfo die Firma CCT24 Mobile Heros aus Zypern. Für dieses vertrauenserweckende Unternehmen, dessen Webseite zwar professionell aussieht, jedoch außer hübschen Bildern keine Inhalte vorweist, rechnet BillInfo also ab. Jeder Link auf dieser Webseite führt ins Nichts.
Zwar besitzt CCT24 eine Adresse in Köln, Mails dorthin blieben allerdings bisher unbeantwortet.
Denn so stelle ich mir den Vorgang vor: Irgendwo sitzt der böse Bube, trägt meine Handynummer im Formular „Wollen Sie wirklich das WAP-Abo abschließen?“ ein. Das Eintragen löst die SMS der Telekom aus. Bis hierher hätte eigentlich nichts passieren dürfen, denn ich habe die TAN ja nirgendwo eingegeben. Irgendwie muss der „böse Bube“ diese TAN jedoch auch bekommen haben. Und hat so das Abo gebucht. Wie das passieren konnte, weiß niemand. Die Telekom wäscht ihre Hände in Unschuld. BillInfo ebenfalls. Und die Firma in Zypern… sitzt in Zypern.
Wir haben jetzt eine Drittanbietersperre. Und ich hoffe, dass der vermutete böse Bube nicht weiterhin SMS an mich abfängt. Am besten schreibt ihr mir per iMessage. Oder Threema. Aber erst, nachdem ihr gecheckt habt, ob ihr bei Eurem Mobilfunkanbieter die Drittanbietersperre gesetzt habt.
Übrigens erinnert mich dieser ganze Vorgang stark an den Vodafone-Hack Anfang des Jahres, als Vodafone-Kunden damit konfrontiert wurden, dass TAN-SMS in großem Stile abgefischt wurden. Da ich aber in den sozialen Medien keine Hinweise darauf gefunden habe, dass in der letzten Woche noch mehren Leuten etwas widerfahren ist wie mir, muss ich wohl davon ausgehen, ein bedauerlicher Einzelfall zu sein.
BillInfo hat das von mir vermutete Prozedere, das zum Abschluss eines solchen Abos führt, inzwischen bestätigt:
Da ich diesen Vorgang nicht durchgeführt habe, bedeutet dies, dass entweder jemandem mit einer „Man in the Middle“-Attacke gelungen ist, die TAN-SMS der Telekom an mich abzufangen. Oder das genutzte Bezahlungs-Verfikationssystem lässt das Durchprobieren der Bezahl-TAN zu, in dem Fall hätte die Firma aus Zypern 10.000 TANs durchprobieren müssen. Was automatisiert sicherlich ein Kinderspiel sein dürfte. Ich überlege derzeit, ob es ein Geschäftsmodell sein könnte, WLAN-Kabel im Monatsabo für 23,99 Euro zu vertreiben. Wie das mit der Abrechnung funktioniert, ohne dass man mir etwas ans Zeug flicken kann, weiß ich ja jetzt…
Zumindest das unaufgeforderte Empfangen von TANs zur Aktivierung solcher Bezahldienste scheint nicht nur mich zu betreffen. Hier berichten in den letzten Wochen mehrere Telekomkunden von den SMS, die sie nicht in Auftrag gegeben haben. Bei denen scheint aber zumindest kein Abo gebucht worden zu sein.
Bildquelle Artikelbild:
http://www.travelguide-en.org/wordpress/wp-content/uploads/2013/12/Roca-de-Afrodita-Petra-tou-Romiou-Paphos-Chipre.jpg [Paul167. Licensed-under-Creative-Commons-Attribution]