Car2Go: Phishing-SMS mit gefälschtem Absender
Der Car-Sharing-Anbieter Car2Go warnt seine Kunden zur Stunde vor gefälschten SMS, die unter dem Absender der Daimler-Tochter verschickt werden. Nach Angaben des Autovermieters hätten mehrere deutsche Kunden eine SMS bekommen, die „Car2Go“ als Absender nennt und „Handlungsbedarf“ in Bezug auf die jeweiligen Kundenkonten anführt.
Problematisch: Weder die SMS noch die in ihr verlinkte Webseite stammen von Car2Go. Zwar gehe keine Gefahr für all jene Nutzer aus, die den verschickten Link bereits angeklickt haben – Anwender, die auf der Webseite einen Daten-Upload angestoßen haben, sollen sich jedoch mit dem Kundenservice des Unternehmens in Kontakt setzen.
Noch ist unklar, wie die Angreifer an die Rufnummern des Kundenstamms gelangen konnten, unsere Anfrage diesbezüglich wartet aktuell auf noch auf ihre Beantwortung. In einer Info-Mail an seine Kunden schreibt Car2Go:
Die Sicherheit von Kundendaten hat für Car2Go oberste Priorität. Ein Team an Fachkollegen ist derzeit dabei, die Situation aufzuklären. […] Wir werden die entsprechenden Ermittlungsbehörden einschalten und der Sache auch juristisch nachgehen. Es gibt keinerlei Hinweise darauf, dass Bezahldaten an Dritte gegangen sind.
Seit September 2014 bietet Car2Go seinen Kunden die Möglichkeit an, die iPhone-App des Unternehmens als Fahrzeugschlüssel einzusetzen. Nach Eingabe der Kunden-PIN in der App wird eine zweite PIN im Fahrzeugdisplay hinter der Windschutzscheibe angezeigt, die ebenfalls im Smartphone eingegeben werden muss, damit sich das Fahrzeug öffnet.
Das Starten der Miete per App erfordert abseits des globalen Logins in die App keine PIN-Eingabe.
Woher habe die die Handynummer der Kunden?
Handynummern sind – wie der Name schon sagt, Nummern.
Man nehme die deutschen Vorwahlen (z.B. 0157, 0175, 0176 usw.) und gehe einige Nummern durch (Zufallsgenerator).
Man schicke die SMS (dafür gibt es heutzutage Dienste, die sehr billig sind) und so sollte man einige Leute erreichen.
Ob die Phisher hier so vorgehen, weiß ich nicht, aber dass die o.g. Methode zum Einsatz kommt, habe ich oft gelesen. Auch, wenn es mittlerweile bestimmt bessere gibt, um gültige (!) Nummern zu bekommen (Ankauf von Nummern, die werden auf dem Schwarzmarkt mittlerweile auch immer billiger).
Ich bin verärgert darüber, dass car2go in der E-Mail lapidar schreibt, dass die Sicherheit meiner Daten bei ihnen oberste Priorität hat und sie sich dann mit keiner Silbe bei mir entschuldigen, dass sie sich meine Handynummer haben klauen lassen. Typisches Blabla.
Denkst du echt, dass ein „Wir entschuldigen uns für die Unannehmlichkeiten.“ alles besser gemacht hätte?
Selbst wenn ich bei einer Hotline anrufe und sich die Leute dort entschuldigen, nehme ich das denen nicht ab.
Ich bin ein Kunde von Tausenden bzw. Millionen oder Milliarden. Die E-Mail wird verschickt und zack – der Großteil der Kunden ist erreicht.
An der Hotline kommt beim Beenden des Anrufes der nächste Kunde dran und schon bin ich vergessen. ;-)
Von daher ist mir das völlig wurscht, ob ein Dienst sich für sowas entschuldigt oder nicht. Das meiste ist sowieso nur Marketing bzw. PR.
Für mich gehört das „Entschuldigung!“ bei solchen Vorfällen übrigens auch zum „Typischem Blabla“.
Ist doch auch gar nicht sicher das die Nummern geklaut wurden. Ich hab zumindest keine SMS bekommen.
Ist also auch möglich das es Zufallszahlen/gekaufte Zahlen waren die dann verwendet wurden.
So eine App für den Mac wäre perfekt.
@Horst: Deine Logik möchte ich nicht haben müssen…