Phishing mit echten Netflix-Mails
Netflix-Angriff: Gmail-Nutzer müssen auf Punkte achten
Nutzer das Video-Streaming–Dienstes Netflix, die sich ihr Konto mit einer von Google betreuten Gmail-Adresse erstellt haben, sollten in E-Mail-Benachrichtigungen des Unternehmens genau auf die Schreibweise des Adressaten achten.
Während Googles E-Mail-Dienst Punkte an beliebigen Stellen in eure E-Mail Adresse geflissentlich übersieht und eine E-Mail an TomTomaso@gmail.com ebenso zustellt wie eine E-Mail an Tom.Tomaso@gmail.com, erkennt Netflix hier zwei unterschiedliche E-Mail-Adressen und gestattet entsprechend die Registrierung zwei unterschiedlicher Konten.
Angreifer, darauf macht der Blogger James Fisher aufmerksam, seien so in der Lage neue Netflix-Konten (etwa Tom.Tomaso@gmail.com) unter Einsatz leicht modifizierte Gmail-Adressen bereits existierender Konten (zum Beispiel: TomTomaso@gmail.com) zu erstellen. Netflix selbst verifiziert die Mail-Adresse während der Konto-Einrichtung nicht und zeigt zudem sogar an, wenn E-Mail-Adressen bereits vergeben sind.
Die Folge: Läuft der Probe-Monat des Angreifers aus, schickt Netflix eine E-Mail mit der Bitte die Kreditkarten-Daten zu aktualisieren. Diese landet dank Google jedoch nicht beim Angreifer sondern beim Nutzer des eigentlichen Kontos (TomTomaso@gmail.com) und befördert einen Link zum Netflix-Portal der keinen Login benötigt.
Übersieht das Opfer den Punkt in der E-Mail-Adresse und hinterlegt die eigenen Kreditkarten-Daten freut sich der Angreifer über eine bezahlte Netflix-Mitgliedschaft mit hinterlegten Zahlungsdaten.
Es ist davon auszugehen, dass Netflix das Einfallstor in den kommenden Tagen schließen wird, bis dahin solltet ihr neue E-Mail- Benachrichtigung des Streaming-Dienst es jedoch mit Adleraugen lesen und auf überflüssige Punkte hin inspizieren.
Wäre Google in diesem Fall nicht in der Pflicht diese Art der Zustellung einzustellen ?
Warum? Was hat Google damit zu tun?
Weil Google die falschen E-Mails weiterleitet
Artikel nochmals lesen!
Na ganz einfach weil das „G“ für „Google“ steht! Lesen, verstehen, posten.
Das nervt langsam richtig, dass viele einfach nur noch die Birne zum fressen und saufen anhaben…
Bei der Telekom werden E-Mails die in Massen an Nutzer gesendet werden mit „SPAM“ markiert.
Da sehe ich eher Google in der Pflicht.
Es geht auch TomTomaso+27@gmail.com
Was ist das denn für eine scheiß Adressen Behandlung seitens Google?
Danke für den Hinweis
Interessant auf was für Ideen manche Leute kommen, hätte ich auch gemacht wenn ich das gewusst hätte naja jetzt ist die Lücke ja bald zu )))
Sinnvoll wäre, dass Google über falschgeschriebene Adressen informieren würde, also zum Beispiel die Nachricht besonders markiert.
Ich habe noch nie verstanden warum Google Punkte vor dem @-Zeichen ignoriert und die Zeichenkette dann als eine E-Mail Adresse behandelt. Gibt es hier einen Grund bzw. Vorteil?
Ist total praktisch.
Ich kann mich zum Beispiel mit meine.adresse+ifun@gmail.com bei ifun registrieren. Schickt mir danach jemand anderes als ifun Nachrichten, weiss ich dass die meine Adresse weitergegeben haben.
Und es hat mit sogar Mal bei Unitymedia geholfen. Die akzeptieren nämlich in ihrem Kontaktformular nur Adressen mit max. 1 Punkt. Meine Adresse hat aufgrund allerweltsnamen aber in der gut lesbaren Schreibweise 2 Punkte. Vorname.kurzel.nachname@gmail.com
Durch die Besonderheit von Gmail war es mir trotzdem möglich, eine Kontaktanfrage rauszuschicken
WHAT?! Also, ich würde mich auch sehr über eine nähere Erklärung freuen, denn ich habe in den vergangenen zwei Monaten E-Mails vom PlayStation-Network erhalten, obwohl ich mich selbst nie angemeldet habe. Auch hier war meine Adresse ohne Punkt der Empfänger, doch das bin ich eben nicht. Gleiches Spiel letzte Woche mit einem anderen Anbieter. In beiden Fällen ging es um die Bestätigung der E-Mail-Adresse. Ich konnte sogar ein Passwort für den PS-Network Zugang erstellen. Im Umkehrschluss erhält also auch die andere Person ohne Punkt in der Mail-Adresse womöglich E-Mails, die an mich gerichtet wurden? Das kann doch alles nicht sein?!
Die Erklärung steht doch ausführlich im Artikel oben. Und das sollte mit ein Grund sein, keine Google-ich-nehme-mir-all-deine-Daten-Dienste zu nutzen.
Ist das die ausführliche Erklärung mit Hintergründen & Co., oder nur eine Beschreibung von Tatsachen? „Während Googles E-Mail-Dienst Punkte an beliebigen Stellen in eure E-Mail Adresse geflissentlich übersieht und eine E-Mail an TomTomaso@gmail.com ebenso zustellt wie eine E-Mail an Tom.Tomaso@gmail.com“
Eine andere Person kann keine E-Mail Adresse registrieren, die sich von deiner nur durch die Punkte unterscheidet. Die Mails an diese Adressen kommen also nur bei dir an.
Ok, das ist echt übel
Die Erklärung steht doch ausführlich im Artikel oben. Und das sollte mit ein Grund sein, keine Google-ich-nehme-mir-all-deine-Daten-Dienste zu nutzen.
Auf diese Weise stellt Gmail sicher daß sich nicht sich als tom.tomaso ausgibt und Kontakte die tom.tomaso kennen an der Nase herumführt, indem er sich einfach eine ähnliche Adresse wie „tomtomaso“ als Absender einstellt und die Kontakte von „tom.tomaso“ anschreibt. Wenn diese nämlich dem nur vermeintlich Richtigen antworten, dann werden die Antworten an den richtigen tom.tomaso zugestellt.
Eben ausprobiert – e-mails an VornameNachname gehen an Vorname.Nachname, sofern dieser eher da war. Neuanlage von VornameNachname wird abgelehnt wenn Vorname.Nachname bereits existiert.
Das klingt nachvollziehbar, aber wenn Max Mustermann seine E-Mail-Adresse mit max.mustermann@gmail.com einrichtet, hat doch ein anderer Max Mustermann die Möglichkeit, die E-Mail-Adresse maxmustermann@gmail.com zu nutzen, weil diese noch nicht vergeben ist. Dann führt das doch aber zu Problemen… Ich glaube, ich stehe auf dem Schlauch… ;)
aber wenn google doch Punkte vor dem @ ignoriert, kann doch niemand mehr maxmustermann@gmail.com registrieren, weil es die Adresse max.mustermann@gmail schon gibt (der Punkt wird ja wohl auch bei der Registrierung ignoriert) … denke ich mal ;-)
Nein scheinbar kann man keine Email Adresse ohne den Punkt erstellen wenn es schon eine mit unkt gibt.
Tschagger und Captain, danke für den Denkanstoß! Das erklärt wohl auch, warum mein Passwort für Adresse vorname.nachname@gmail.com geändert wurde, als ich versucht habe eine Adresse mit vornamename@gmail.com zu registrieren. Und Letzteres war tatsächlich möglich, hat aber eben auch das Passwort der ersten Adresse geändert – was ja dafür spricht, dass es sich um einen Account handelt.
Der Fehler liegt hier eindeutig bei Netflix, die E-Mail Adressen nicht verifizieren.
Dadurch ist dies überhaupt erst möglich.
Es ist schade, das hier 9 Beiträge gepostet werden, anhand derer man sofort erkennt, das die das Thema nicht verstanden haben.
Es geht nicht um Google, es geht um Netflix, dort kann man sich anmelden und Probesehen, OHNE das man eine Mailbestätigung mit Link zur Verifizierung bekommt.
Und wenn Tom Clever ist und nicht seine Kreditkarte angibt, dann wird der Evil Doer das nächste Konto bei Netflix aufmachen für 4 Wochen mit der Email
To.MTomaso@Gmail
und übernächsten Monat mit
T.omTomaso@Gmail
Es geht hier ganz offensichtlich um Netflix im Zusammenspiel mit Googlemail-Adressen. Insofern geht es hier um Netflix und Googlemail.