iphone-ticker.de — Alles zum iPhone. Seit 2007. 22 668 Artikel
Phishing mit echten Netflix-Mails

Netflix-Angriff: Gmail-Nutzer müssen auf Punkte achten

Artikel auf Google Plus teilen.
28 Kommentare 28

Nutzer das Video-Streaming–Dienstes Netflix, die sich ihr Konto mit einer von Google betreuten Gmail-Adresse erstellt haben, sollten in E-Mail-Benachrichtigungen des Unternehmens genau auf die Schreibweise des Adressaten achten.

Nf Update

Während Googles E-Mail-Dienst Punkte an beliebigen Stellen in eure E-Mail Adresse geflissentlich übersieht und eine E-Mail an [email protected] ebenso zustellt wie eine E-Mail an [email protected], erkennt Netflix hier zwei unterschiedliche E-Mail-Adressen und gestattet entsprechend die Registrierung zwei unterschiedlicher Konten.

Angreifer, darauf macht der Blogger James Fisher aufmerksam, seien so in der Lage neue Netflix-Konten (etwa [email protected]) unter Einsatz leicht modifizierte Gmail-Adressen bereits existierender Konten (zum Beispiel: [email protected]com) zu erstellen. Netflix selbst verifiziert die Mail-Adresse während der Konto-Einrichtung nicht und zeigt zudem sogar an, wenn E-Mail-Adressen bereits vergeben sind.

Die Folge: Läuft der Probe-Monat des Angreifers aus, schickt Netflix eine E-Mail mit der Bitte die Kreditkarten-Daten zu aktualisieren. Diese landet dank Google jedoch nicht beim Angreifer sondern beim Nutzer des eigentlichen Kontos ([email protected]) und befördert einen Link zum Netflix-Portal der keinen Login benötigt.

Netflix 3d Touch Header

Übersieht das Opfer den Punkt in der E-Mail-Adresse und hinterlegt die eigenen Kreditkarten-Daten freut sich der Angreifer über eine bezahlte Netflix-Mitgliedschaft mit hinterlegten Zahlungsdaten.

Es ist davon auszugehen, dass Netflix das Einfallstor in den kommenden Tagen schließen wird, bis dahin solltet ihr neue E-Mail- Benachrichtigung des Streaming-Dienst es jedoch mit Adleraugen lesen und auf überflüssige Punkte hin inspizieren.

Mittwoch, 11. Apr 2018, 17:55 Uhr — Nicolas
28 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Wäre Google in diesem Fall nicht in der Pflicht diese Art der Zustellung einzustellen ?

  • Da sehe ich eher Google in der Pflicht.

  • Was ist das denn für eine scheiß Adressen Behandlung seitens Google?

  • Interessant auf was für Ideen manche Leute kommen, hätte ich auch gemacht wenn ich das gewusst hätte naja jetzt ist die Lücke ja bald zu )))

  • Sinnvoll wäre, dass Google über falschgeschriebene Adressen informieren würde, also zum Beispiel die Nachricht besonders markiert.

  • Ich habe noch nie verstanden warum Google Punkte vor dem @-Zeichen ignoriert und die Zeichenkette dann als eine E-Mail Adresse behandelt. Gibt es hier einen Grund bzw. Vorteil?

    • Ist total praktisch.
      Ich kann mich zum Beispiel mit [email protected] bei ifun registrieren. Schickt mir danach jemand anderes als ifun Nachrichten, weiss ich dass die meine Adresse weitergegeben haben.

      • Und es hat mit sogar Mal bei Unitymedia geholfen. Die akzeptieren nämlich in ihrem Kontaktformular nur Adressen mit max. 1 Punkt. Meine Adresse hat aufgrund allerweltsnamen aber in der gut lesbaren Schreibweise 2 Punkte. [email protected]
        Durch die Besonderheit von Gmail war es mir trotzdem möglich, eine Kontaktanfrage rauszuschicken

  • WHAT?! Also, ich würde mich auch sehr über eine nähere Erklärung freuen, denn ich habe in den vergangenen zwei Monaten E-Mails vom PlayStation-Network erhalten, obwohl ich mich selbst nie angemeldet habe. Auch hier war meine Adresse ohne Punkt der Empfänger, doch das bin ich eben nicht. Gleiches Spiel letzte Woche mit einem anderen Anbieter. In beiden Fällen ging es um die Bestätigung der E-Mail-Adresse. Ich konnte sogar ein Passwort für den PS-Network Zugang erstellen. Im Umkehrschluss erhält also auch die andere Person ohne Punkt in der Mail-Adresse womöglich E-Mails, die an mich gerichtet wurden? Das kann doch alles nicht sein?!

    • Die Erklärung steht doch ausführlich im Artikel oben. Und das sollte mit ein Grund sein, keine Google-ich-nehme-mir-all-deine-Daten-Dienste zu nutzen.

      • Ist das die ausführliche Erklärung mit Hintergründen & Co., oder nur eine Beschreibung von Tatsachen? „Während Googles E-Mail-Dienst Punkte an beliebigen Stellen in eure E-Mail Adresse geflissentlich übersieht und eine E-Mail an [email protected] ebenso zustellt wie eine E-Mail an [email protected]

    • Eine andere Person kann keine E-Mail Adresse registrieren, die sich von deiner nur durch die Punkte unterscheidet. Die Mails an diese Adressen kommen also nur bei dir an.

  • Die Erklärung steht doch ausführlich im Artikel oben. Und das sollte mit ein Grund sein, keine Google-ich-nehme-mir-all-deine-Daten-Dienste zu nutzen.

  • Auf diese Weise stellt Gmail sicher daß sich nicht sich als tom.tomaso ausgibt und Kontakte die tom.tomaso kennen an der Nase herumführt, indem er sich einfach eine ähnliche Adresse wie „tomtomaso“ als Absender einstellt und die Kontakte von „tom.tomaso“ anschreibt. Wenn diese nämlich dem nur vermeintlich Richtigen antworten, dann werden die Antworten an den richtigen tom.tomaso zugestellt.
    Eben ausprobiert – e-mails an VornameNachname gehen an Vorname.Nachname, sofern dieser eher da war. Neuanlage von VornameNachname wird abgelehnt wenn Vorname.Nachname bereits existiert.

    • Das klingt nachvollziehbar, aber wenn Max Mustermann seine E-Mail-Adresse mit [email protected] einrichtet, hat doch ein anderer Max Mustermann die Möglichkeit, die E-Mail-Adresse [email protected] zu nutzen, weil diese noch nicht vergeben ist. Dann führt das doch aber zu Problemen… Ich glaube, ich stehe auf dem Schlauch… ;)

      • aber wenn google doch Punkte vor dem @ ignoriert, kann doch niemand mehr [email protected] registrieren, weil es die Adresse [email protected] schon gibt (der Punkt wird ja wohl auch bei der Registrierung ignoriert) … denke ich mal ;-)

      • Nein scheinbar kann man keine Email Adresse ohne den Punkt erstellen wenn es schon eine mit unkt gibt.

      • Tschagger und Captain, danke für den Denkanstoß! Das erklärt wohl auch, warum mein Passwort für Adresse [email protected] geändert wurde, als ich versucht habe eine Adresse mit [email protected] zu registrieren. Und Letzteres war tatsächlich möglich, hat aber eben auch das Passwort der ersten Adresse geändert – was ja dafür spricht, dass es sich um einen Account handelt.

  • Der Fehler liegt hier eindeutig bei Netflix, die E-Mail Adressen nicht verifizieren.

    Dadurch ist dies überhaupt erst möglich.

  • Es ist schade, das hier 9 Beiträge gepostet werden, anhand derer man sofort erkennt, das die das Thema nicht verstanden haben.

    Es geht nicht um Google, es geht um Netflix, dort kann man sich anmelden und Probesehen, OHNE das man eine Mailbestätigung mit Link zur Verifizierung bekommt.

    Und wenn Tom Clever ist und nicht seine Kreditkarte angibt, dann wird der Evil Doer das nächste Konto bei Netflix aufmachen für 4 Wochen mit der Email

    [email protected]
    und übernächsten Monat mit
    [email protected]

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 22668 Artikel in den vergangenen 3887 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2018 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven