Samstag, 24. Mai 2008

Kreditkartenpishing bei Opodo.de?

Nach meinen Erfahrungen mit Flug.de versuche ich das Feuer zu vermeiden und wechsel zur Konkurrenz. Was aber jetzt kam hatte ich dann doch wieder nicht erwartet.

Ich suche einen günstigen Flug Lima-Frankfurt und werde tatsächlich bei Opodo.de fündig. Die Preise ändern sich mitunter stündlich. Ich schlage zu.

Bei Opodo.de hat man grundsätzlich die Option per Lastschrift oder gegen Aufpreis per Kreditkarte zu bezahlen. Allerdings scheitert mein Versuch per Lastschrift zu bezahlen mit einem angeblichen Verweis auf Bürgel. Seltsam, ich krieg weder Hartz IV, ich zahle meine Rechnungen und gehöre zu den wenigen in der Republik die keinen Cent schulden haben. Aber OK, es gibt ja noch Kreditkarten. Kostet halt 2,99 EUR extra.

Alles scheint gut, bis ich folgende Email erhalte:

"Sehr geehrte/r Herr/Frau ,

vielen Dank für Ihre Buchung bei Opodo.

Ihre Buchungsnummer: ABC

Bei Opodo gelten strenge Sicherheitsrichtlinien zum Schutz unserer Kunden vor Kreditkartenmissbrauch. Daher bitten wir unsere Kunden gemäß unseren AGB, uns bei bestimmten Flugzielen einen zusätzlichen Identitätsnachweis vorzulegen.

Da das von Ihnen gewählte Reiseziel zu diesen Zielen zählt, benötigen wir von Ihnen zum Abschluss der Buchung noch folgende zusätzliche Angaben:

1. Eine deutlich erkennbare Kopie der Vorder- und Rückseite Ihrer Kreditkarte, mit der Sie diese Buchung bezahlen möchten.

2. Eine Kopie Ihrer aktuellen Kreditkartenabrechnung, um den Namen, die Adresse und die Nummer Ihrer Kreditkarte zu bestätigen. Ihre Umsätze können geschwärzt werden. Bitte beachten Sie, dass wir Kontoauszüge Ihrer Bank sowie eine Kopie Ihres Reisepasses/Ausweises nicht akzeptieren können.

Wir bitten Sie, uns diese Informationen an folgende Faxnummer zu senden: 01805-66 66 15 (0,14 Euro/Min.) / aus dem Ausland 00493043661215.


Falls Sie uns Ihre Daten aufgrund einer früheren Buchung bereits schon einmal gesendet haben, möchten wir Sie darauf hinweisen, dass wir diese Informationen aus Sicherheitsgründen vernichten und keinen Zugriff mehr darauf haben. Eine erneute Zusendung ist daher notwendig.

Nachdem wir diese Informationen von Ihnen erhalten haben, können wir Ihnen das gewünschte Flugticket ausstellen und Ihnen unverzüglich zusenden.

Wir werden Ihre Reservierung bis 16:00 Uhr am 24. Mai 2008 für Sie aufrecht erhalten.

Sollten wir die benötigten zusätzlichen Informationen nicht innerhalb des angegebenen Zeitraums erhalten, so werden wir Ihre Reservierung automatisch stornieren.

Bitte geben Sie auf dem Fax die Buchungsnummer "ABC" an. So können wir eine zügige Bearbeitung gewährleisten.

Wir danken Ihnen für Ihr Verständnis. Für weitere Fragen stehen wir Ihnen von Montag bis Freitag von 8 bis 20 Uhr und am Wochenende von 10 bis 17 Uhr gern zur Verfügung.

Mit freundlichen Grüßen"

Bitte???? Ich soll eine Kopie der Vorder- sowie der Rückseite meiner Kreditkarte, d.h. inklusive meiner Unterschrift und Sicherheitsnummer und darüber hinaus meine Kreditkartenabrechnung an eine Firma schicken, die ich nicht im geringsten kenne???? Das sind alle Daten die man benötigt um nach Belieben mit meiner Kreditkarte einzukaufen und obendrein kann man mit der Rechnung bei der Servicezentrale alle Daten der Karte ändern. Inklusive Karte Sperren, Adressänderungen und der Beantragung neuer Karten. Das sind nämlich die Daten, die beim Anruf bei der Kreditkartenzentrale abgefragt werden, um sicherzustellen, dass tatsächlich der Rechnungsempfänger anruft.

Warum fragen Sie nicht gleich nach der Pin und Tan zu meinem Konto? Vielleicht weil das Limit auf der Kreditkarte höher ist als auf dem Konto?

Wenn ich Kreditkartenbetrug überhaupt erst ermögliche, dann ja wohl so. Ich bin sogar der Auffassung, dass ich grob fahrlässig handeln würde, wenn ich jedem im Internet der danach fragt diese Daten schicken würde. In diesem Fall hafte ich damit für den eingetretenen Schaden wegen akuter Dummheit ganz alleine.

Ich teile dies Opodo.de mit und biete aber gleichzeitig andere Zahlungsmodalitäten an.

"Hallo,

ich werde Euch ***auf gar keinen Fall*** irgendwelche Abrechnungen meiner Kreditkartenabrechnung schicken.

Wo sind wir denn?

Ich werde mich jetzt auch nicht hinsetzen und anfangen Euch eine Kopie meiner Kreditkarte zu schicken.

Ich kann Euch noch anbieten das ganze direkt von meinem Firmenkonto abzubuchen oder ich überweise Euch das auch.

Ich weise darauf hin, dass ich mit Euch einen Vertrag geschlossen habe, ohne dass Ihr auf diese Prozedur vorher hingewiesen habt. Ergeben Sich für mich daraus irgendwelche Nachteile werde ich die Kosten notfalls per Anwalt wieder bei Euch einfordern.

Mit Gruß,"

Die Antwort kommt prompt unterscheidet sich aber unwesentlich von der ersten Email.


"vielen Dank für Ihre Anfrage.

Die Sicherheitsabfrage erfolgt für bestimmte Reiseziele, die vermehrt zum Kreditkartenbetrug genutzt wurden. Die Sicherheitsabfrage dient auch zum Schutz unserer Kunden, um ungerechtfertigte Belastungen von Kreditkarten zu vermeiden. Für die Ausstellung von Flugtickets geben die Fluggesellschaften bestimmte Fristen vor, innerhalb derer das Flugticket ausgestellt werden muss, daher sind wir gezwungen bei nicht vorliegenden Unterlagen die Buchung nach Ablauf dieser Frist zu stornieren.
Wir bitten um Ihr Verständnis und verweisen in diesem Zusammenhang auf unsere Allgemeinen Geschäftsbedingungen, in denen wir auf mögliche Sicherheitsüberprüfungen hinweisen und welche bei Buchung von Ihnen akzeptiert wurden.

Um jede Woche kostenlos über die aktuellsten Reiseangebote informiert zu werden, empfehlen wir Ihnen unseren Reise-Newsletter. Opodo bietet Flüge von 500 Airlines, 65.000 Hotelangebote und Mietwagen an mehr als 7.000 Stationen weltweit.

Mit freundlichen Grüßen"

Mir wird das ganze zu doof und ich rufe bei bei der Nummer aus der Email an.

Dort teilt man mir mit, dass andere Zahlungweisen nicht möglich wären ohne die Reise ganz zu stornieren und wenn ich mich weigern würde die gewünschten Dokumente zu schicken, werde man jetzt die Reise stornieren. Auch Dokumente, die man tatsächlich überprüfen (Perso, Reisepass) kann, will man nicht sehen. Ich fühle mich extrem unter Druck gesetzt.

Offensichtlich ist man nur daran interessiert, meine Kreditkarteninformtionen in die Hand zu bekommen. Eine Kreditkartenabrechnung ist per se formlos, lässt sich kaum überprüfen und hat damit erstmal keinerlei Aussage. Wenn ich einen Kreditkartenbetrug durchführen will, habe ich eine faxtaugliche Kreditkartenabrechnung in weniger als 30 Minuten gefälscht. Aber mit einer richtigen Kreditkartenrechnung kann man sämtliche Daten einer Kreditkarte verändern. Das andere Zahlungsarten nicht gehen ohne die Rechnung zu stornieren halte ich für einen schlechten Witz. Und warum sollte die für Opodo.de völlig risikolose Überweisungen nicht funktionieren, wenn man gleichzeitig das Lastschriftverfahren anbietet?

Ich bin mir nicht sicher, ob es sich hierbei nicht um einen gut gemachten Pishingversuch handelt. Ich werde das ganze auf jedenfall mal an der Verbraucherschutz sowie Heise melden.

Tatsächlich ist bereits ein Schaden entstanden, da der Flug mittlerweile nicht mehr zu den Konditionen angeboten wird, wie zum Zeitpunkt der Buchung bei Opodo.de.

Ich wende mich an der Verbraucherschutz und an den Heise Verlag:

"Hallo,

ich habe versucht beim bekannten Reiseportal Opodo.de einen Flug zu buchen. Dabei wurde unter anderem verlangt, dass ich eine gut lesbare Kopie der Vorder- sowie der Rückseite (d.h. inklusive Unterschrift und Sicherheitsnummer) sowie eine Kreditkartenabrechnung an Opodo.de schicke. Das sind alle Daten, die man benötigt um nach Belieben mit meiner Kreditkarte im Internet einzukaufen und obendrein kann man mit der Rechnung beim Anruf der Kartenservicezentrale (die Nummer ist auch auf der kreditkartenrückseite) auch alle Daten verändern. Alle anderen Dokumente und Zahlungsweisen wurden abgelehnt. Für mich besteht daher der konkrete Verdacht, dass es sich um einen Pishingversuch in Bezug auf meine Kreditkarteninformationen gehandelt hat.
Genauswenig wie ich meine Pin für das Onlinebanking verschicke, bin ich der Auffassung, dass ich grob fahrlässig handeln würde, wenn ich diese Daten an jeden im Internet schicke der mich danach fragt.
Mir ist bereits ein konkreter Schaden entstanden, da der Flug mittlerweile nicht mehr zu den Konditionen gebucht werden kann.
Den ganzen Sachverhalt gibt es unter
http://meinelobby.blogspot.com/2008/05/kreditkartenpishing-bei-opodode.html

Für Informationen, wie ich den Schaden am besten gelten machen kann bin ich dankbar.

Mit Gruß,"

Und nochmal an Opodo.de mit der Bitte um Stellungnahme.

"Hallo,

ich habe am 23.5.08 versucht bei Euch eine Reise zu buchen. Dabei wurde unter anderem verlangt, dass ich eine gut lesbare Kopie der Vorder- sowie der Rückseite (d.h. inklusive Unterschrift und Sicherheitsnummer) sowie eine Kreditkartenabrechnung an Euch schicke. Das sind alle Daten, die man benötigt um nach Belieben mit meiner Kreditkarte im Internet einzukaufen und obendrein kann man mit der Rechnung beim Anruf der Kartenservicezentrale (die Nummer ist auch auf der kreditkartenrückseite) auch alle Daten verändern, Karten sperren oder neue Karten beantragen. Alle anderen Dokumente und Zahlungsweisen wurden abgelehnt. Für mich besteht daher der konkrete Verdacht, dass es sich um einen Pishingversuch in Bezug auf meine Kreditkarteninformationen gehandelt hat.
Genauswenig wie ich meine Pin für das Onlinebanking verschicke, bin ich der Auffassung, dass ich grob fahrlässig handeln würde, wenn ich diese Daten an jeden im Internet schicke der mich danach fragt.
Mir ist bereits ein konkreter Schaden entstanden, da der Flug mittlerweile nicht mehr zu den Konditionen gebucht werden kann.
Den ganzen Sachverhalt gibt es unter http://meinelobby.blogspot.com/2008/05/kreditkartenpishing-bei-opodode.html . Ich habe mich in der Sache inzwischen an der Verbraucherschutz sowie an den Heiseverlag gewendet.

Zur Sicherheit werde ich Euch dieses Schreiben nochmal per Post zukommen lassen.

Ich bitte hiermit um eine Stellungnahme. Ich weise darauf hin, das ich jede Antwort unverändert anonymisiert, aber ansonsten unverändert auf der genannten Seite veröffentlichen werde.

Mit Gruß,"

Update 26.05.2008

Der Verbraucherschutz hat sich heute direkt am nächsten Tag telefonisch gemeldet. Super Service, besten Dank!
Leider waren die Informationen weniger gut. Auf gut Deutsch. Keine Chance.
Wenn das in den AGB's so drin steht, können Sie im Prinzip verlangen, was sie wollen. Wenn man das nicht akzeptiert kommt eben kein Vertrag zu Stande. Auf dem Schaden bleibt man sitzen.

Ich habe daraufhin noch mal die AGB genauer angeschaut. Ich hatte Sie tatsächlich vor dem Kauf kurz überflogen, aber wer liest und versteht eine komplette AGB bevor er etwas kauft.

Dort heißt es unter "Zahlungen"

"Sie können daher per E-Mail dazu aufgefordert werden, Opodo einen Nachweis über die Anschrift des Kreditkarteninhabers anhand einer Kreditkartenabrechnung und eine Kopie der Kreditkarte oder eines Kontoauszugs per Fax oder Post zu übersenden, bevor Tickets ausgestellt werden. Kommen Sie der Aufforderung nicht fristgemäß nach, behält sich Opodo vor, die von Ihnen gebuchten touristischen Produkte oder Dienstleistungen zu stornieren und damit verbundene Kosten an Sie weiterzuleiten."

Die Frage, inwiefern man fahrlässig handelt, wenn man diese Daten einfach rausgibt konnte nicht beantwortet werden.


Update 27.05.2008
Auch Heise meldet sich bereits nach einem Tag. Auch hier herzlichen Dank!

"Guten Tag.

Inwiefern solche Forderungen zulässig sind, sollten Sie mit einem Rechtsanwalt oder einer Verbraucherzentrale klären. Wir bitten Sie um Verständnis, dass wir hier keinerlei keine rechtliche Auskunft geben können oder dürfen.

Zu dem entstandenen "Schaden": Einen solchen gibt es nach unserer Auffassung nicht. Es ist zwar ärgerlich, dass Sie den Vertrag zu diesen Konditionen nun nicht mehr buchen können, aber dadurch ist Ihnen ja kein Schaden entstanden, da Sie ja keine Vorleistung erbracht haben.

Gern überprüfen wir aber, ob das Vorgehen von Opodo etwas für unsere Sendung ist, wir bitten Sie aber um Verständnis, dass wir nicht alle Fälle aufnehmen können. Sollten Sie in den nächsten Tagen nichts mehr von uns hören, so ist der Fall leider nichts für uns.

Mit freundlichen Grüßen,
AK

Herzliche Grüße! "


Mit anderen Worten. Wer keine Lust auf diese Prozedur hat, sollte besser nicht bei Opodo.de buchen.

Freitag, 23. Mai 2008

Erfahrung mit Flug.de

Mit flug.de sah es beim ersten mal noch ganz gut aus. Anscheinend klappte alles erstmal reibungslos. Beim Rückflug klappte dann aber gar nichts auch wenn das erst mal auch nicht so aussah. Nach der Buchung regte sich erstmal nichts. Tagelang wartete ich auf eine Bestätigung, was aber auch daran gelegen haben kann, dass ich während der Zeit telefonisch nicht erreichbar war.
Nach einigen Tagen bekam ich dann eine Mail, dass es ein Problem mit meinem E-Ticket gäbe, denn man könne nur ein richtiges Ticket ausstellen. Wohin sie es denn in Deutschland schicken mögen, denn ins Ausland koste es 30 EUR extra.
Ich hatte einen One-Way Flug Lima Frankfurt gebucht.....

"Hallo,

Wielange ich in Deutschland bin? Was glaubt Ihr wo ich bin, wenn ich ein One-Way Ticket Lima-Frankfurt bei Euch kaufe?

ganz ehrlich. Ihr habt das Ticket als ausdrücklich E-Ticket verkauft. Wenn Ihr das jetzt nicht erstellen könnt ist das nicht mein Problem, d.h. die Versandkosten trage nicht ich sondern Ihr. Ich empfinde das Angebot mir den Versand mit 30 EUR in Rechnung zu stellen als Frechheit. Was soll sowas? Guter Service sieht fuer mich anders aus....

Das Ticket bitte an

XYZ
in
Lima

senden

Mit freundlichen Grüßen,
XXX"

Die Antwort lässt leider nicht lange auf sich warten.

"Sehr geehrter Herr ,

vielen Dank für Ihre E-Mail.

Anhand Ihrer Buchung ist für uns nicht ersichtlich, ob Sie sich bereits in Lima befinden oder erst nach Lima fliegen.

Wir würden Ihnen das Flugticket ohne weitere Gebühren zusenden, allerdings muss der Empfänger anwesend sein und die Sendung persönlich mit Unterschrift entgegennehmen.

Bitte geben Sie uns bis heute, 22.04.2008 15Uhr Bescheid, ob wir das Flugticket dennoch nach Lima versenden sollen.

Für Rückfragen stehen wir Ihnen gerne zur Verfügung.

Mit freundlichen Gruessen"

Dummerweise bin ich mit dem Rucksack unterwegs und leide damit unter akutem Mangel fester Adressen. Darüberhinaus bin ich während der Zeit in den Bergen unterwegs.

"Hallo,

erst mal vielen Dank fuer das entgegenkommen!

Ich bin die ab morgen fuer eine knappe Woche in den Bergen um Huaraz Peru unterwegs, wo ich weder Emails noch Tickets empfangen kann.

XXXist eine Verwandte in Lima. Sie hat eine Vollmacht, das Ticket an meiner Stelle entgegen zu nehmen. Wenn das Ticket an die genannte Adresse zugestellt ist, ist alles weitere mein Problem. D.h. ich mache keinerlei Regressansprueche geltend, falls ich nach der Zustellung des Tickets an die genannte Adresse nicht an das Ticket kommen sollte.

Danke!"

Und es klappt sogar. Wenige Tage später trifft das Ticket in Lima per Kurier ein. Allerdings macht mich die Rechnung schon etwas stutzig. Statt der erwarteten 700 kostet es auf einmal über 1000 EUR... Ich halte es erst mal für einen Fehler, der aber leider ziemlich real wird als ich meine Kreditkartenabrechnung erhalte.
Dafür bekomme ich allerdings diesmal per Briefpost ein Schreiben, dass man versäumt habe die 500 EUR für den Hinflug von der Kreditkarte abzubuchen. Leider habe man meine Kreditkartennummer inzwischen gelöscht, ich möchte mich dochmal melden.

Jeeeez.

"Hallo,

Dafür dass Ihr dem Fall nichts abgebucht habt, habt ihr bei meinem letzten Flug ABC gleich mal 300 zuviel abgebucht.

Statt 750 EUR wie im Internet angegeben habt Ihr 1077 EUR abgebucht. Davon über 500 EUR Steuern und Gebühren.

Was macht Ihr da eigentlich??? In 2 Flügen gleich 2 mal Probleme mit der Rechnung. So schwer kann das doch nicht sein, zumal alles in elektronischer Form vorliegt. Dazu kommt noch, dass Ihr beim letzten Flug, dann kein E-Ticket ausstellen konntet und mir das ganze dann auch nocht mit 30 EUR in Rechnung stellen wolltet. Irgendwie hat man nur Probleme mit Euch.

2 Möglichkeiten.
Option a.) Ich zahl Euch die Differenz. D.h. ca 200 EUR.
Option b.) Ihr korrigiert die Rechnung aus ABC und danach überweise ich die fehlenden 564 EUR

Mit Gruß,"

Plötzlich finden Sie dann doch wieder irgendwo meine Kreditkartennummer und ich erhalte nach einigen Tagen abschließend folgende Email:

"Sehr geehrter Herr ,
vielen Dank für Ihre E-Mail.
Wir möchten uns für die Unannehmlichkeiten entschuldigen.
Wir haben soeben beide Rechnungen korrigiert. Bei der Buchung ABC (1234) haben wir Ihnen 331.47 EUR auf Ihre Kreditkarte gutgeschrieben und beim Vorgang 5678 (XYZ) haben wir den Betrag 564.62 EUR von der Kreditkarte abgebucht. Die Bestätigungen /Rechnungen müssten bei Ihnen schon angekommen sein."

Hallejulja