Wenn „guter“ Kundenservice zur Falle wird: Xfinity-Betrug zeigt Schwachstellen bei der Identitätsprüfung auf

20. Mai 2025

Eine aktuelle Betrugsmasche, bei der sich die Angreifer als der Telekommunikationsanbieter Xfinity ausgeben, hat aufgezeigt, wie leicht Angreifer Kundenservicesysteme ausnutzen können, um ahnungslose Opfer zu täuschen. Mit überzeugenden Kenntnissen über Rechnungs- und Kontodaten locken die Betrüger Nutzer in Prepaid-Geschenkkartenfallen – und agieren dabei oberflächlich betrachtet völlig legitim.

Die größere Sorge geht jedoch über diesen konkreten Vorfall hinaus: Es ist die strukturelle Schwachstelle in der Art und Weise, wie viele Dienstleister die Kundenauthentifizierung handhaben. Wenn Rechnungsdaten und persönliche Kontoinformationen mit wenig mehr als einer Telefonnummer oder Adresse abgerufen werden können, erhalten Betrüger dadurch ein mächtiges Werkzeug für immer raffiniertere Social Engineering Methoden.

Ein bekanntes Szenario – mit einer gefährlichen Wendung

Bei dem Xfinity-Betrug erhielten die Opfer unaufgefordert Nachrichten, in denen ihnen Rabatte auf zukünftige Rechnungen versprochen wurden. Die Nachrichten verwiesen sie auf eine Telefonnummer, die scheinbar zu Xfinity gehörte. Der Betrug war raffiniert: Wartemusik, professionelle Sprachaufnahmen und Skripte, die die Sprache des Unternehmens imitierten, vermittelten einen Eindruck von Authentizität.

Was die Opfer letztendlich überzeugte, war die Fähigkeit der Betrüger, konkrete, genaue Rechnungsinformationen anzugeben – wie beispielsweise den Betrag der letzten Rechnung oder die Angabe von Familienmitgliedern, die über das Konto abgerechnet werden. In einem Fall wurde das Opfer aufgefordert, anstehende Rechnungen über Target-Geschenkkarten zu bezahlen, angeblich im Rahmen einer markenübergreifenden Werbeaktion. Nach der Zahlung wurde auf dem Konto des Opfers kurzzeitig ein Saldo von null angezeigt – bevor die betrügerische Zahlung unvermeidlich zurückgewiesen wurde.

Wie kommen Betrüger an die Daten?

Der Hauptgrund für diese Betrugsfälle ist nicht unbedingt eine gehackte Kundendatenbank, sondern die unsichere Gestaltung vieler telefonbasierter Kundendienstsysteme. In Tests, die von einem besorgten Nutzer durchgeführt wurden, gab das automatisierte System von Comcast nach nur minimaler Überprüfung – einer Telefonnummer und einer Anschrift – Kontostände aus und akzeptierte Zahlungsaufforderungen. Da Telefonnummern leicht gefälscht werden können und grundlegende personenbezogene Daten oft öffentlich zugänglich sind oder über Datenbroker gefunden werden können, können Betrüger diese Systeme ohne tiefgreifende technische Kenntnisse oder Sicherheitsverletzungen ausnutzen. Diese niedrige Hürde macht es einfacher denn je, sich mit gerade genug Details als Unternehmen auszugeben, um glaubwürdig zu sein.

Wenn Bequemlichkeit die Sicherheit untergräbt

Diese Betrugsfälle verdeutlichen den Konflikt zwischen Komfort und Sicherheit. Automatisierte Systeme sollen Reibungsverluste für Benutzer reduzieren – doch dieser Komfort geht oft auf Kosten unzureichender Identitätsprüfungen. Wenn grundlegende Kontodaten mit minimaler Überprüfung zugänglich sind, werden Angreifer diese weiterhin ausnutzen, um Vertrauen aufzubauen und Opfer zu manipulieren. Dies ist kein Einzelfall von Xfinity. Viele Unternehmen aus verschiedenen Branchen verlassen sich auf ähnliche Identitätsabläufe, was bedeutet, dass dieses Problem – und sein Missbrauchspotenzial – wahrscheinlich weitaus verbreiteter ist, als ein einzelner Vorfall vermuten lässt.

Fazit: Höhere Anforderungen an die Verifizierung

Der Betrugsfall bei Xfinity unterstreicht, dass Unternehmen neu bewerten müssen, wie leicht auf Kontoinformationen zugegriffen werden kann. Eine strengere Identitätsprüfung sollte eine Grundvoraussetzung sein, keine Hürde. Gleichzeitig müssen Verbraucher weiterhin vorsichtig sein, wenn sie unaufgefordert Angebote erhalten – selbst wenn der Anrufer Dinge zu wissen scheint, die nur das „echte“ Unternehmen wissen sollte. Vertrauen basiert zunehmend auf Daten. Wenn diese Daten jedoch zu leicht zugänglich sind, wird das Vertrauen selbst zur Schwachstelle. Umso wichtiger ist es, auch Nutzer gezielt für digitale Risiken zu sensibilisieren. Gut strukturierte Schulungen zum Sicherheitsbewusstsein – etwa im privaten oder beruflichen Umfeld – tragen entscheidend dazu bei, potenzielle Betrugsversuche frühzeitig zu erkennen und wirkungsvoll abzuwehren.

Dr. Martin Krämer, Security Awareness Advocate bei KnowBe4