Citibank Telefon-Phishing
Vor einigen Tagen habe ich etwas Interessantes mitbekommen:
Jemand erhielt einen Anruf, bei dem die Anruferin behauptete, von der Citibank zu sein, und irgendwelche Kontoangaben überprüfen wollte. So fragte die Dame aus dem Callcenter nach dem Geburtsdatum, welches bei der Citibank auch Teil der Kontonummer ist. Da die angerufene Person jedoch wusste, dass Betrüger gerne solche Informationen herausfinden wollen, bekam die Anruferin keine Antwort, sondern nur die Gegenfrage, worum es den ginge. Dies wollte sie jedoch nicht sagen, nannte aber ihren Namen und bejahte die Frage, ob sie aus der Filiale xyz anrufe, woraufhin die angerufene Person das Gespräch mit dem Hinweis, man werde dort anrufen, beendete.
Ein Anruf bei der erwähnten Filiale ergab die Antwort, dass dort keiner mit diesem Namen arbeitet, besonders gewillt, dem möglichen Betrug nachzugehen, war die Filiale jedoch nicht.
So weit, so gut, möchte man meinen, ein erfolgloser Telefon-Phishingversuch, selten, aber nicht unbekannt. Eine Nachfrage bei der zuständigen Stelle der Polizei ergab, dass der Beamtin solche Anrufe bekannt waren – aber keineswegs als Betrugsmasche, sondern als echte Anrufe von einer Bank, die wohl eine Versicherung verkaufen wollte.
Auf eine erneute Nachfrage bei der Citibank wurde dies dann für möglich gehalten.
Entweder es hat sich also um einen Betrugsversuch gehandelt, der aber der Bank ziemlich egal war, oder der Anruf war wirklich von der Bank.
Den zweiten Fall fände ich persönlich bedenklicher: Statt den Kunden beizubringen, sorgsam mit persönlichen Daten umzugehen, werden sie darauf trainiert, diese Daten über das Telefon an irgendwelche Anrufer, die behaupten, von der Bank zu sein, herauszugeben.
Dies gilt auch für den Fall, dass der Anruf nicht von der Citibank kam, denn der betroffenen Person wurde gesagt, dass solche Anrufe durchaus vorkommen können.
Als nächstes könnte die Citibank ja gleich auch noch anfangen, E-Mails verschicken, mit der Bitte, Name, Adresse, Kontonummer, Online-PIN und 10 TANs einzugeben, um die Kontodaten zu prüfen.
Egal welcher der Fälle zutrifft, die Citibank hat sich nicht gerade mit Ruhm beckleckert und wird wohl in Zukunft mindestens einen Kunden weniger haben.
Auch für mich steht nach dieser verantwortungslosen Aktion eine weitere Bank fest, bei der ich wohl kein Konto haben werde, zumal die Citibank bereits dafür bekannt geworden ist, dass sie ziemlich unsichere TAN-Listen erzeugt hat, und das, was man so im Internet findet, ist auch nicht gerade Vertrauen erweckend. UPDATE: Und noch ne Runde, diesmal hat sich die Citibank USA die PINs klauen lassen. Da ist es ja schon grob fahrlässig, bei denen ein Konto zu haben.
Jan Schejbal 
Das habe ich in der letzten Zeit zweimal (angeblich) von Seiten American Express erlebt. Eine Anruferin ohne Rufnummernkennung auf dem Handy, die „Benutzererdaten aktualisieren“ wollte. So überrascht, wie sie klang, als ich ihr mitgeteilt habe, sie würde von mir am Telefon überhaupt nichts erfahren und ohne Kennung schon gleich zehnmal nicht, möchte ich wetten, ich war der erste, der nicht bereitwillig sontwas ausgeplaudert hat.
Sie hat dann sogar noch angesetzt, sie könnte mir als Legitimitätsbeweis diese oder jene Auskunft geben, aber ich habe ich nicht drauf eingelassen. Zwei Wochen später, same procedure.
Merkwürdigerweise ist nie eine schriftliche oder sonstwie legitimisierte Anfrage nachgekommen.