Xfinity-Missbrauch zeigt Schwachstellen bei der Identitätsprüfung auf

Gefälschte Nachrichten verwiesen sie auf eine Telefonnummer, die scheinbar zu Xfinity gehört

[datensicherheit.de, 21.05.2025] „Eine aktuelle Betrugsmasche, bei der sich die Angreifer als der Telekommunikationsanbieter Xfinity ausgeben, hat aufgezeigt, wie leicht Angreifer Kundenservicesysteme ausnutzen können, um ahnungslose Opfer zu täuschen“, so Dr. Martin Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Mit überzeugenden Kenntnissen über Rechnungs- und Kontodaten lockten die Betrüger Nutzer in Prepaid-Geschenkkarten-Fallen – und agierten dabei oberflächlich betrachtet völlig legitim.

Foto: KnowBe4

Dr. Martin Krämer kommentiert Xfinity-Missbrauch: Vertrauen basiert zunehmend auf Daten – wenn diese jedoch zu leicht zugänglich sind, wird das Vertrauen selbst zur Schwachstelle!

Xfinity-Betrug: Opfer erhielten unaufgefordert Nachrichten mit Rabatt-Versprechen

Die größere Sorge gehe jedoch über diesen konkreten Vorfall hinaus: „Es ist die strukturelle Schwachstelle in der Art und Weise, wie viele Dienstleister die Kundenauthentifizierung handhaben.“ Wenn Rechnungsdaten und persönliche Kontoinformationen mit wenig mehr als einer Telefonnummer oder Adresse abgerufen werden können, erhalten Betrüger dadurch „ein mächtiges Werkzeug für immer raffiniertere Social-Engineering-Methoden“.

Bei dem Xfinity-Betrug erhielten die Opfer demnach unaufgefordert Nachrichten, in denen ihnen Rabatte auf zukünftige Rechnungen versprochen wurden. Krämer berichtet: „Die Nachrichten verwiesen sie auf eine Telefonnummer, die scheinbar zu Xfinity gehörte. Der Betrug war raffiniert: Wartemusik, professionelle Sprachaufnahmen und Skripte, die die Sprache des Unternehmens imitierten, vermittelten einen Eindruck von Authentizität.“

Betrüger konnten konkrete, genaue Xfinity-Rechnungsinformationen angeben

Was die Opfer letztendlich überzeugt habe, sei die Fähigkeit der Betrüger gewesen, konkrete, genaue Rechnungsinformationen anzugeben – wie beispielsweise den Betrag der letzten Rechnung oder die Angabe von Familienmitgliedern, welche über das Konto abgerechnet werden.

„In einem Fall wurde das Opfer aufgefordert, anstehende Rechnungen über ,Target’-Geschenkkarten zu bezahlen, angeblich im Rahmen einer markenübergreifenden Werbeaktion.“ Nach der Zahlung sei auf dem Konto des Opfers kurzzeitig ein Saldo von null angezeigt worden – „bevor die betrügerische Zahlung unvermeidlich zurückgewiesen wurde“.

Hauptgrund für Betrugsfälle wie z.B. bei Xfinity nicht unbedingt eine gehackte Kundendatenbank…

Der Hauptgrund für diese Betrugsfälle sei nicht unbedingt eine gehackte Kundendatenbank, sondern die unsichere Gestaltung vieler telefonbasierter Kundendienstsysteme. „In Tests, die von einem besorgten Nutzer durchgeführt wurden, gab das automatisierte System von Comcast nach nur minimaler Überprüfung – einer Telefonnummer und einer Anschrift – Kontostände aus und akzeptierte Zahlungsaufforderungen.“

Da Telefonnummern leicht gefälscht werden könnten und grundlegende personenbezogene Daten oft öffentlich zugänglich seien oder über Datenbroker gefunden werden könnten, „können Betrüger diese Systeme ohne tiefgreifende technische Kenntnisse oder Sicherheitsverletzungen ausnutzen“. Diese niedrige Hürde mache es einfacher denn je, sich mit gerade genug Details als Unternehmen auszugeben, um glaubwürdig zu sein.

Wenn Bequemlichkeit Sicherheit untergräbt: Xfinity kein Einzelfall

Diese Betrugsfälle verdeutlichen laut Krämer den Konflikt zwischen Komfort und Sicherheit: „Automatisierte Systeme sollen Reibungsverluste für Benutzer reduzieren – doch dieser Komfort geht oft auf Kosten unzureichender Identitätsprüfungen. Wenn grundlegende Kontodaten mit minimaler Überprüfung zugänglich sind, werden Angreifer diese weiterhin ausnutzen, um Vertrauen aufzubauen und Opfer zu manipulieren.“

Dies sei kein Einzelfall von Xfinity. Viele Unternehmen aus verschiedenen Branchen verließen sich auf ähnliche Identitätsabläufe, „was bedeutet, dass dieses Problem – und sein Missbrauchspotenzial – wahrscheinlich weitaus verbreiteter ist, als ein einzelner Vorfall vermuten lässt“.

Betrugsfall bei Xfinity unterstreicht Notwendigkeit, Zugriff auf Kontoinformationen zu überdenken

Der Betrugsfall bei Xfinity unterstreiche, dass Unternehmen neu bewerten müssten, wie leicht auf Kontoinformationen zugegriffen werden kann. Eine strengere Identitätsprüfung sollte eine Grundvoraussetzung sein, keine Hürde. Gleichzeitig müssten Verbraucher weiterhin vorsichtig sein, wenn sie unaufgefordert Angebote erhalten – „selbst wenn der Anrufer Dinge zu wissen scheint, die nur das ,echte, Unternehmen wissen sollte“.

Abschließend betont Krämer: „Vertrauen basiert zunehmend auf Daten. Wenn diese Daten jedoch zu leicht zugänglich sind, wird das Vertrauen selbst zur Schwachstelle!“ Umso wichtiger sei es, auch Nutzer gezielt für digitale Risiken zu sensibilisieren. Gut strukturierte Schulungen zum Sicherheitsbewusstsein – etwa im privaten oder beruflichen Umfeld – könnten entscheidend dazu beitragen, potenzielle Betrugsversuche frühzeitig zu erkennen und wirkungsvoll abzuwehren.

Weitere Informationen zum Thema:

xfinity
Comcast Resources for Fraud and Identity Theft Resolution

xfinity, Xfinity Community Forum, 08.02.2025
Xfinity Target Promotion Scam

xfinity, Xfinity Community Forum, 12.01.2025
Heads up – scam „Xfinity“ emails on the rise

datensicherheit.de, 20.10.2020
Brand Phishing Report: Microsoft Top-Köder für Phishing / Im dritten Quartal 2020 gelangte Microsoft auf Platz 1 der Top-10