iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 550 Artikel

Phishing mit echten Netflix-Mails

Netflix-Angriff: Gmail-Nutzer müssen auf Punkte achten

Artikel auf Mastodon teilen.
28 Kommentare 28

Nutzer das Video-Streaming–Dienstes Netflix, die sich ihr Konto mit einer von Google betreuten Gmail-Adresse erstellt haben, sollten in E-Mail-Benachrichtigungen des Unternehmens genau auf die Schreibweise des Adressaten achten.

Nf Update

Während Googles E-Mail-Dienst Punkte an beliebigen Stellen in eure E-Mail Adresse geflissentlich übersieht und eine E-Mail an TomTomaso@gmail.com ebenso zustellt wie eine E-Mail an Tom.Tomaso@gmail.com, erkennt Netflix hier zwei unterschiedliche E-Mail-Adressen und gestattet entsprechend die Registrierung zwei unterschiedlicher Konten.

Angreifer, darauf macht der Blogger James Fisher aufmerksam, seien so in der Lage neue Netflix-Konten (etwa Tom.Tomaso@gmail.com) unter Einsatz leicht modifizierte Gmail-Adressen bereits existierender Konten (zum Beispiel: TomTomaso@gmail.com) zu erstellen. Netflix selbst verifiziert die Mail-Adresse während der Konto-Einrichtung nicht und zeigt zudem sogar an, wenn E-Mail-Adressen bereits vergeben sind.

Die Folge: Läuft der Probe-Monat des Angreifers aus, schickt Netflix eine E-Mail mit der Bitte die Kreditkarten-Daten zu aktualisieren. Diese landet dank Google jedoch nicht beim Angreifer sondern beim Nutzer des eigentlichen Kontos (TomTomaso@gmail.com) und befördert einen Link zum Netflix-Portal der keinen Login benötigt.

Netflix 3d Touch Header

Übersieht das Opfer den Punkt in der E-Mail-Adresse und hinterlegt die eigenen Kreditkarten-Daten freut sich der Angreifer über eine bezahlte Netflix-Mitgliedschaft mit hinterlegten Zahlungsdaten.

Es ist davon auszugehen, dass Netflix das Einfallstor in den kommenden Tagen schließen wird, bis dahin solltet ihr neue E-Mail- Benachrichtigung des Streaming-Dienst es jedoch mit Adleraugen lesen und auf überflüssige Punkte hin inspizieren.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
11. Apr 2018 um 17:55 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    28 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Wäre Google in diesem Fall nicht in der Pflicht diese Art der Zustellung einzustellen ?

  • Was ist das denn für eine scheiß Adressen Behandlung seitens Google?

  • Interessant auf was für Ideen manche Leute kommen, hätte ich auch gemacht wenn ich das gewusst hätte naja jetzt ist die Lücke ja bald zu )))

  • Sinnvoll wäre, dass Google über falschgeschriebene Adressen informieren würde, also zum Beispiel die Nachricht besonders markiert.

  • Ich habe noch nie verstanden warum Google Punkte vor dem @-Zeichen ignoriert und die Zeichenkette dann als eine E-Mail Adresse behandelt. Gibt es hier einen Grund bzw. Vorteil?

  • WHAT?! Also, ich würde mich auch sehr über eine nähere Erklärung freuen, denn ich habe in den vergangenen zwei Monaten E-Mails vom PlayStation-Network erhalten, obwohl ich mich selbst nie angemeldet habe. Auch hier war meine Adresse ohne Punkt der Empfänger, doch das bin ich eben nicht. Gleiches Spiel letzte Woche mit einem anderen Anbieter. In beiden Fällen ging es um die Bestätigung der E-Mail-Adresse. Ich konnte sogar ein Passwort für den PS-Network Zugang erstellen. Im Umkehrschluss erhält also auch die andere Person ohne Punkt in der Mail-Adresse womöglich E-Mails, die an mich gerichtet wurden? Das kann doch alles nicht sein?!

  • Die Erklärung steht doch ausführlich im Artikel oben. Und das sollte mit ein Grund sein, keine Google-ich-nehme-mir-all-deine-Daten-Dienste zu nutzen.

  • Auf diese Weise stellt Gmail sicher daß sich nicht sich als tom.tomaso ausgibt und Kontakte die tom.tomaso kennen an der Nase herumführt, indem er sich einfach eine ähnliche Adresse wie „tomtomaso“ als Absender einstellt und die Kontakte von „tom.tomaso“ anschreibt. Wenn diese nämlich dem nur vermeintlich Richtigen antworten, dann werden die Antworten an den richtigen tom.tomaso zugestellt.
    Eben ausprobiert – e-mails an VornameNachname gehen an Vorname.Nachname, sofern dieser eher da war. Neuanlage von VornameNachname wird abgelehnt wenn Vorname.Nachname bereits existiert.

  • Der Fehler liegt hier eindeutig bei Netflix, die E-Mail Adressen nicht verifizieren.

    Dadurch ist dies überhaupt erst möglich.

  • Es ist schade, das hier 9 Beiträge gepostet werden, anhand derer man sofort erkennt, das die das Thema nicht verstanden haben.

    Es geht nicht um Google, es geht um Netflix, dort kann man sich anmelden und Probesehen, OHNE das man eine Mailbestätigung mit Link zur Verifizierung bekommt.

    Und wenn Tom Clever ist und nicht seine Kreditkarte angibt, dann wird der Evil Doer das nächste Konto bei Netflix aufmachen für 4 Wochen mit der Email

    To.MTomaso@Gmail
    und übernächsten Monat mit
    T.omTomaso@Gmail

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38550 Artikel in den vergangenen 6275 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven