Header Titel

WAP-Billing: Unterschätzte Abofalle für Smartphones!

Veröffentlicht · Aktualisiert

Unerwartete Beträge auf der Telefonrechnung? Der Grund: WAP-Billing… ein Relikt aus der Urzeit des mobilen Surfen, vor iPhone & Co.

Was ist passiert?

Meow – Simon’s Cat. Ganz üble WAP- Billing Masche! Viel zahlen, wenig (kein?) Gegenwert!

Schon damals konnte man mobil bezahlen – und diese Schnittstelle kann auch missbraucht werden, um euch beim surfen teure, sinnlose Abos unterzujubeln! Und zwar auf ganz normalen Seiten, die ihr täglich verwendet.

Kürzlich surfte ich mal wieder auf meinem iPhone zur Webseite eines großen, seriösen, deutschen Nachrichtenmagazins (die Papierausgabe erscheint wöchentlich, aber es ist nicht der SPIEGEL). Als ich einen Artikel aufrief, verhielt sich mein iPhone auf einmal merkwürdig: Ich wurde mehrfach von URL zu URL umgeleitet und schließlich wurde mir auf dem Bildschirm ganzflächig eine Meldung angezeigt, dass ich mit einem Klick „Meow, Simon’s Cat“ ansehen könnte. Und kleingedruckt, dass dieser Service nur 4,99 Euro pro Woche (!!!) kosten würde. Der ganze Screen war dabei durch diese Werbung überlagert. Ich kannte bereits die WAP-Billing Problematik, also tat ich – gar nichts! Statt dessen habe ich vorsichtig, ohne ja einen weiteren Klick auszulösen, direkt eine neue URL aufgerufen. Vorher habe ich aber natürlich noch einen Screenshot erstellt, siehe hier neben dem Text. Man kann auch erkennen, dass es sich um das „Mein TV Store Plus Abo“ gehandelt hätte, laut Beschreibung auf dem Screenshot „Das Video-Portal auf dein Handy. Zugang zu Videos in Streaming!“ (Streaming! Wer hätte das gedacht!!!) Inwiefern dieses „TV Store Plus Abo“ 20 Euro im Monat wert ist, besonders im Vergleich zu dem kostenlosen YouTube, kann ich leider nicht beurteilen. Ich kann mir aber, ehrlich gesagt, nicht vorstellen, dass dieses Abo mehr wert sein kann, als z.B. ein Netflix-Abo für weniger als die Hälfte… Irgendwann hängen Dir auch die schönsten Kätzchenvideos zum Hals raus (Ironie aus).

Bevor ich auf diese Seite gelangt bin, wurde ich über verschiedene URLs automatisch immer schön weitergereicht – ich will nicht wissen, in wie vielen zweifelhaften Datenbanken meine Telefonnummer nun gespeichert ist… Hier ist so ein Beispiel. Tatsächlich waren es noch mehr URLs, aber ich konnte so schnell gar nicht Screenshots erstellen, wie ich weitergereicht wurde.

WAP-Billing: Der Weg durch das Labyrinth der automatischen Weiterleitungen.

Nachdem ich ja nirgends auf einen „Kaufen“, „Weiter“ oder „Zustimmen“ Button geklickt hatte, dachte ich mir nichts weiter und surfte weiter. Ich erhielt auch keine SMS mit einer „Abo-Bestätigung“. In den kommenden Tagen wurde ich noch öfter auf gleiche Weise zu unterschiedlichen Aboseiten weitergeleitet. (Wie genau das passiert und warum das so gefährlich ist, folgt in Kürze.) Aber nur und ausschließlich auf dieser einen Webseite. Alle anderen Webseiten verhielten sich nach wie vor ganz normal.

Eine harmlosere, aber nicht weniger störende Variante ist das ungefragte Weiterleiten auf den iTunes Appstore, wo man – dem Anschein nach! – kostenlose Apps herunterladen soll. Ich gehe jedenfalls mal davon aus, dass das „echte“ und nicht „nachgeahmte“ Apps sind… Wer kann schon sagen, ob man nicht einfach nur das Icon eines bekannten Anbieters geklaut hat, aber davon abgesehen die eigentliche App nichts mehr mit diesem zu tun hat?

Weil ich ein netter Mensch bin, habe ich den Betreiber der Seite über den offiziellen Support-Kanal per Mail informiert, samt Screenshots etc. Aber mehr als eine 08/15 Antwort kam nie an: „Ihre Anfrage (22811) ist eingegangen und wird von unserem Supportteam überprüft.“ Schade, dass es dem Team egal ist, ob sich tausende ihrer Besucher ein sinnloses Abo einfangen…

Böse Überraschung bei der Rechnung!

WAP-Billing: Unerwartete Abos auf der Telefonrechnung!

Als diese Aboseiten nach einigen Wochen noch immer erschienen, und auch immer nur auf genau der gleichen Webseite, wurde ich misstrauisch. Zwischenzeitlich hatte ich mehrfach meinen Browser-Cache geleert und das Telefon wiederholt aus- und eingeschaltet.

WAP-Billing: Diese Abos soll ich alle beim surfen mit dem iPhone abgeschlossen haben?

Daher schaute ich in meine Online-Rechnung. Bei welchem Mobilfunk-Provider ich bin, spielt hier keine Rolle: Was ich beschreibe, kann bei allen anderen Mobilfunkprovidern genauso passieren. Egal ob Telekom, Vodafone, O2, E-Plus und wie sie heißen: Sie alle bieten die Option „mobiles Bezahlen“ und damit WAP-Billing an, vielleicht variiert die Bezeichnung von Anbieter zu Anbieter. Daneben fand ich auf meiner persönlichen Seite noch den Punkt „Aboverwaltung“. Nachdem ich diese aufgerufen hatte, traf mich der Schlag: 19 Abos waren dort aufgelistet, die ich in den letzten Wochen abgeschlossen haben sollte. In Summe würden diese 99,81 Euro pro Woche, also ca. 400 Euro im Monat kosten.

Zum Glück standen diese auf „inaktiv“ und es war auch ersichtlich, dass noch kein SMS-Versand (zur Bestätigung der Aktivierung des Abos) stattgefunden hatte. Noch konnte ich also Gegenmaßnahmen ergreifen. Was man in dieser Situation tun kann und auch meiner Meinung nach unbedingt tun muss, folgt später. Zuerst möchte ich erklären, was überhaupt passiert ist.

Was ist „WAP-Billing“ und wie funktioniert es?

Die Buchung der Abos geschah durch das sogenannte „WAP-Billing“, aber was ist das? Nun, heutzutage im Zeitalter der modernen Smartphones surfen wir vielleicht auf Seiten, die für ein kleines Display maßgeschneidert wurden, aber im Wesentlichen sehen wir die gleichen Webseiten wie auf stationären PCs: Mit Videos, Grafiken – ganz normale Webseiten eben.

Aber blicken wir zurück in die zweite Hälfte der 1990er Jahre: Zu dieser Zeit hatten Handys kleine Displays, die in der Regel sogar nur einfarbig waren. Die Darstellung von „Webseiten“ (auch im Vergleich mit den damals auf PCs möglichen Webseiten) war so nicht möglich. Also definierte die Mobilfunkindustrie einen Standard, der festlegte, wie „Webseiten“ auf dem Handy dargestellt werden können: Der „WAP“ Standard („Wireless Application Protocol“) wurde im Jahre 1997 verabschiedet und bis zum Jahr 2002 mehrfach überarbeitet und erweitert. Zur Zeit ist die Version 2.0 aktuell – und es sieht nicht so aus, als ob eine neue Version kommen wird: Nach der populärsten Zeit in den Jahren 2003 und 2004 (und auch da war es nicht allzu weit verbreitet) ist WAP mittlerweile quasi verschwunden, da alle heutigen Handys problemlos normale Webseiten anzeigen können.

WAP wird nur noch als „Legacy“-Technik weiterhin unterstützt – aber kein, wirklich kein privater Endkunde braucht es! Niemand würde es bemerken, wenn WAP von heute auf morgen verschwinden würde, die Technik ist genauso überholt und überflüssig wie die der Telegrafie und es gibt keinen Grund für Mobilfunkprovider, sich mit dieser alten Technik zu plagen…

… wäre da nicht die von über 99,99% der Privatkunden vergessene Funktion des „WAP-Billing“, die auch den Providern einen guten Umsatz beschert.

[Edit: Anscheinend ist WAP immer noch eine Basistechnik für MMS, also gibt es doch noch einen Service, den man vermissen würde, wenn man WAP abschalten würde.]

Man war in den 1990er Jahren durchaus visionär: Warum sollte man nicht über die gerade erschwinglich und zum Massenmarkt werdenden Mobiltelefone auch Einkäufe tätigen können? Es wäre doch klasse, wenn man über das Telefon etwas einkaufen könnte und dann bequem über die Telefonrechnung bezahlen würde. Ich muss zugeben, die Vorstellung gefällt auch mir! Gleichzeitig ist diese Funktion aber bis heute, über 15 Jahre später, bis auf ganz wenige Ausnahmen nirgendwo implementiert worden, außer bei obskuren Abos… (Wohlgemerkt: Wir reden hier nicht über 1-Klick Lösungen wie von Amazon oder in-App Käufe wie bei iTunes! Denn dort muss man sich an irgend einer Stelle vorher mit Namen und Passwort angemeldet haben, bevor man etwas kaufen kann.)

WAP-Billing bei x247.mobi: „Klick auf weiter & Video ansehen“. Leider ohne Angabe, dass man mit dem Klick ein Abo abschließt, und dass es 7,49 Euro pro Woche (!) kostet…

Das Prinzip ist einfach: Im WAP Standard ist festgelegt, dass bei einem Kaufvorgang automatisch und ohne weiteres Zutun die Telefonnummer des Kunden übergeben wird. So landet der Kaufbetrag automatisch auf der Telefonrechnung. Der Haken dabei ist: Man kann sich nicht herausreden. Entschuldigungen wie „Das war ich nicht, da hat jemand mein WLAN gehackt!“ funktionieren hier nicht!

Eigentlich sollte eine Buchung nur durchgeführt werden, nachdem der Kunde eindeutig dem Kauf zugestimmt hat. Natürlich muss er in diesem Moment auch wissen, welche Kosten auf ihn zukommen. Technisch gesehen ist das aber, soweit ich das verstanden habe, nicht notwendig: Eine Buchung kann nach meinem Wissensstand theoretisch jederzeit ohne aktive Zustimmung stattfinden, auch wenn man nur auf eine bestimmte Seite surft! Ob eine Buchung erst stattfindet, wenn der Kunde ausdrücklich zustimmt oder auch schon bei Aufruf einer beliebigen Seite, wäre demzufolge technisch gesehen völlig egal und man wäre der Fairness des jeweiligen Anbieters ausgesetzt! (Wenn ich das falsch verstanden habe, bitte ich um Kontaktaufnahme und Übermittlung entsprechender unabhängiger Quellen.)

So war es auch bei mir: Ich würde vor Gericht an Eides statt schwören, dass ich kein einziges Mal auf einen der „Zustimmen“ / „Kaufen“ / „Weiter“ Buttons geklickt habe, und dennoch tauchen sie in meiner Übersicht als Abo auf! Zum Glück, wie gesagt, als „inaktiv“ und somit musste ich noch nichts zahlen. Einmal soll ich sogar in wenigen Sekunden mehrfach das gleiche Abo abgeschlossen haben, das dann auch mehrfach abgerechnet würde (obwohl ich es nur einmal gleichzeitig nutzen kann…).

Wie kann man verhindern, dass man in eine Abofalle gerät?

Es gibt ein ganz einfaches Gegenmittel: Die sogenannte „Drittanbietersperre„! In einfachen Worten gesagt, verhindert diese Sperre, dass Anbieter irgendwelche Kosten für Abos etc. in Rechnung stellen können – also Problem gelöst!

Eine Drittanbietersperre kann bei allen Providern – oft auch kostenlos – eingerichtet werden, und man sollte es auch tun: Denn soweit mir bekannt, ist das „mobile Bezahlen“ standardmäßig bei allen Telefonverträgen eingeschaltet, man muss es aktiv durch die Drittanbietersperre abschalten! Natürlich wäre es viel sinnvoller und logischer, wenn es umgekehrt wäre und man das WAP-Billing erst bei Bedarf aktiv einschalten muss. Aber durch das WAP-Billing verdienen auch die Mobilfunkprovider gut mit, also dürfte die Motivation, freiwillig auf Umsatz zu verzichten, nicht sehr hoch sein.

Wie und wo man eine Drittanbietersperre bei Telekom, Vodafone, O2, E-Plus (und wie sie alle heißen) einrichten kann, findet man einfach bei Google heraus.

Wichtig: Das Einrichten einer Drittanbietersperre beendet oder kündigt ein etwaig vorhandenes Abo nicht! Man muss nur nichts mehr zahlen, solange die Drittanbietersperre aktiv ist, aber trotzdem bei den jeweiligen Anbietern das Abo kündigen. Manchmal sind die Kontaktdaten bei euren Mobilfunkprovidern hinterlegt, manchmal muss man echt lange suchen! Man sollte es aber machen, damit man endgültig Ruhe hat.

Müssen diese Abos bezahlt werden?

Das ist eine gute Frage… Ich bin kein Jurist, daher kann ich hier auch nicht beraten. Aber es finden sich genügend Treffer im Internet, teilweise auch von Rechtsanwälten geschrieben. Die Spannweite reicht von „klar muss man zahlen!“ bis hin zu „da ist kein Vertrag zustande gekommen, also muss man auch nicht zahlen!“. Der bequemste (aber wahrscheinlich auch der unbefriedigendste) Weg ist es, die Rechnung zähneknirschend zu zahlen, gleichzeitig besagte Drittanbietersperre einzurichten und das Abo zu kündigen.

Es finden sich im Internet aber auch einige Artikel, die beschreiben, wie man sich gegen unberechtigte Zahlungen zur Wehr setzen kann ohne riskieren zu müssen, dass das Handy auf einmal gesperrt wird. Der Artikel bei Antispam ist sehr ausführlich und gut!

Wer ist schuld an dieser Masche?

Wie eingangs geschrieben, fing ich mir diese Abos ein, als ich auf einer völlig legalen, angesehenen deutschen Nachrichtenwebseite surfte. Der Betreiber der Seite hat sicherlich nichts damit zu tun… das Einfallstor dürften eher die Werbepartner dieser Seite gewesen sein.

Oftmals werden Werbeanzeigen bei schlechter Auslastung über zig Stationen weiterverkauft (an pro Schritt vielleicht immer windigere Firmen), bis sie schließlich von einer Firma gebucht wird, von der die ersten Makler garantiert nichts vermuten. Und diese spielt in das Werbenetzwerk den „bösartigen“ Code ein. Dem Betreiber der betroffenen Webseite ist daran gelegen, dass so etwas nicht passiert, denn zum Einen wird der Surfer durch den bösartigen Code von der eigenen Seite weggeleitet und zum Anderen würde es viele – zu Recht! – böse Mails an den Betreiber geben von denjenigen, die sich nur durch den Besuch der Seite ein Abo eingefangen haben. (Außerdem meide ich nun schon seit Wochen die Seite, ich bin also als Werbekunde verloren, sie machen keinen Umsatz mit mir.)

Die c’t hat schon im Jahr 2010 einen schönen Artikel darüber geschrieben!

Was ich selbst getan habe

Mein Mobilfunkprovider listet im internen Bereich Kontaktmöglichkeiten zu den jeweiligen Abonamen an. Zwar werden dort die Dienstleister dahinter leider nicht namentlich genannt, aber immerhin steht dort eine Telefonnummer und man kann über ein Web-Frontend Mails versenden. Letztere Möglichkeit habe ich sofort genutzt: Ich habe klargestellt, dass ich nicht weiß, warum in meinem Mobilfunkaccount auf einmal Abos aufgetaucht sind, da ich keinen Vertrag abgeschlossen habe. Davon unabhängig kündigte ich aber mit sofortiger Wirkung alle unter meiner Mobilfunknummer gespeicherten Abos und bat um Bestätigung. Ich erhielt auch prompt eine Bestätigung, dass die Nachricht erfolgreich übermittelt wurde.

Net Mobile AG: Gutes Google-Ranking, aber leider nicht unbedingt so, wie gewollt.

Die ebenfalls angegebene Telefonnummer habe ich nicht genutzt (mündliche Abmachungen wären nichts wert, da nicht nachweisbar). Aber dank Google findet man natürlich direkt die Firma dahinter: Die Net Mobile AG aus Düsseldorf. Diese hat sich spezialisiert auf mobile Bezahllösungen und stellt ihre Dienstleistungen wiederum anderen Firmen zur Verfügung (die ich nicht kenne, denn sie verstecken sich hinter der Net Mobile AG). Darunter kann dann natürlich auch mal ein fauler Apfel sein. Da aber als Name immer zuerst die Net Mobile AG auftaucht und nicht der eigentliche Anbieter dahinter, ist deren Name bei Google wenig überraschend nicht unbedingt positiv belegt.

Die Net Mobile AG bietet als seriöser Dienstleister natürlich auch eine Webseite an, auf der man seine Abos oder sonstigen Premium-Dienste einsehen kann: www.bill-info.com. Dort kann man kostenlos eine TAN per SMS auf sein Handy senden lassen, mit deren Hilfe man in einen internen Bereich kommt, in dem alle Mehrwertdienste eingesehen werden können.

Auch ich habe das gemacht: Zu meiner Telefonnummer sind hier keine Abos oder sonstigen Mehrwertdienste vermerkt.

Kurz danach kamen auch per Mail die Antworten auf meine zuvor gestellten Anfragen. Diese stellten folgendes klar, wie hier in einer der Antwortmails exemplarisch dargestellt:

… auf der Mobilfunkrufnummer 0049xxxxxxxxxx wurde Ihnen am 21.06.2015 18:07:15, 17.06.2015 15:59:20, 15.06.2015 07:28:54, 03.06.2015 19:03:32, 03.06.2015 07:21:28, 02.06.2015 12:11:39, 01.06.2015 12:13:00, 01.06.2015 10:52:50 Uhr ein Abodienst mit dem Namen WAP:MEIN TV STORE PLUS; WAP:MEIN TV STORE PLUS; WAP:MEIN TV STORE PLUS; WAP:MEIN TV STORE PLUS; WAP:MEIN TV STORE PLUS; WAP:MEIN TV STORE PLUS; WAP:MEIN TV STORE PLUS; WAP:MEIN TV STORE PLUS angeboten, jedoch von Ihnen nicht abgeschlossen.

Dabei wird die Abogebühr zunächst von Ihrem Mobilfunkanbieter reserviert und wenn es zu keiner Abo-Eröffnung kommt – wie in Ihrem Fall – dann wird der Betrag innerhalb von 48 Stunden wieder auf das entsprechende Mobilfunkkonto gutgeschrieben.

Bitte beachten Sie, dass es von uns zu keiner Belastung gekommen ist und wir somit auch keinen Einfluss mehr auf den reservierten Betrag haben und Ihnen auch nichts zurückbuchen können, da es – wie gesagt – zu keiner Buchung gekommen ist. Bei Fragen zu dem reservierten Betrag müssten Sie sich bitte an Ihren Mobilfunkanbieter wenden.

Also zusammengefasst: Bei mir ist nix Schlimmes passiert – aber ich weiß nicht, was genau dieses „wird die Abogebühr zunächst von Ihrem Mobilfunkanbieter reserviert“ bedeutet – hat der dann wirklich zwei Tage lang mein Geld „reserviert“ und damit zu meinen Lasten temporäre Mehreinnahmen gehabt? Und natürlich ist auch hier schon zu erkennen, wie man sich gegenseitig die Bälle zuwirft („Ich hab‘ damit nix zu tun, bitte wenden Sie sich an…“).

Zusammenfassung.

In Abofallen kann man auch im Jahr 2015 jederzeit geraten, wenn man schwarze Schafe erwischt. Es gibt nur ein Mittel, sich vor unerwarteten Rechnungen zu schützen: Man richtet eine Drittanbietersperre ein!

Weitere interessante Artikel.

Wer möchte, kann sich auch diese Artikel (nicht auf meiner Homepage) durchlesen:

Schlagwörter:

Das könnte dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.