iphone-ticker.de — Alles zum iPhone. Seit 2007. 28 379 Artikel
Phishing mit echten Netflix-Mails

Netflix-Angriff: Gmail-Nutzer müssen auf Punkte achten

28 Kommentare 28

Nutzer das Video-Streaming–Dienstes Netflix, die sich ihr Konto mit einer von Google betreuten Gmail-Adresse erstellt haben, sollten in E-Mail-Benachrichtigungen des Unternehmens genau auf die Schreibweise des Adressaten achten.

Nf Update

Während Googles E-Mail-Dienst Punkte an beliebigen Stellen in eure E-Mail Adresse geflissentlich übersieht und eine E-Mail an TomTomaso@gmail.com ebenso zustellt wie eine E-Mail an Tom.Tomaso@gmail.com, erkennt Netflix hier zwei unterschiedliche E-Mail-Adressen und gestattet entsprechend die Registrierung zwei unterschiedlicher Konten.

Angreifer, darauf macht der Blogger James Fisher aufmerksam, seien so in der Lage neue Netflix-Konten (etwa Tom.Tomaso@gmail.com) unter Einsatz leicht modifizierte Gmail-Adressen bereits existierender Konten (zum Beispiel: TomTomaso@gmail.com) zu erstellen. Netflix selbst verifiziert die Mail-Adresse während der Konto-Einrichtung nicht und zeigt zudem sogar an, wenn E-Mail-Adressen bereits vergeben sind.

Die Folge: Läuft der Probe-Monat des Angreifers aus, schickt Netflix eine E-Mail mit der Bitte die Kreditkarten-Daten zu aktualisieren. Diese landet dank Google jedoch nicht beim Angreifer sondern beim Nutzer des eigentlichen Kontos (TomTomaso@gmail.com) und befördert einen Link zum Netflix-Portal der keinen Login benötigt.

Netflix 3d Touch Header

Übersieht das Opfer den Punkt in der E-Mail-Adresse und hinterlegt die eigenen Kreditkarten-Daten freut sich der Angreifer über eine bezahlte Netflix-Mitgliedschaft mit hinterlegten Zahlungsdaten.

Es ist davon auszugehen, dass Netflix das Einfallstor in den kommenden Tagen schließen wird, bis dahin solltet ihr neue E-Mail- Benachrichtigung des Streaming-Dienst es jedoch mit Adleraugen lesen und auf überflüssige Punkte hin inspizieren.

Mittwoch, 11. Apr 2018, 17:55 Uhr — Nicolas
28 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Wäre Google in diesem Fall nicht in der Pflicht diese Art der Zustellung einzustellen ?

  • Da sehe ich eher Google in der Pflicht.

  • Was ist das denn für eine scheiß Adressen Behandlung seitens Google?

  • Interessant auf was für Ideen manche Leute kommen, hätte ich auch gemacht wenn ich das gewusst hätte naja jetzt ist die Lücke ja bald zu )))

  • Sinnvoll wäre, dass Google über falschgeschriebene Adressen informieren würde, also zum Beispiel die Nachricht besonders markiert.

  • Ich habe noch nie verstanden warum Google Punkte vor dem @-Zeichen ignoriert und die Zeichenkette dann als eine E-Mail Adresse behandelt. Gibt es hier einen Grund bzw. Vorteil?

    • Ist total praktisch.
      Ich kann mich zum Beispiel mit meine.adresse+ifun@gmail.com bei ifun registrieren. Schickt mir danach jemand anderes als ifun Nachrichten, weiss ich dass die meine Adresse weitergegeben haben.

      • Und es hat mit sogar Mal bei Unitymedia geholfen. Die akzeptieren nämlich in ihrem Kontaktformular nur Adressen mit max. 1 Punkt. Meine Adresse hat aufgrund allerweltsnamen aber in der gut lesbaren Schreibweise 2 Punkte. Vorname.kurzel.nachname@gmail.com
        Durch die Besonderheit von Gmail war es mir trotzdem möglich, eine Kontaktanfrage rauszuschicken

  • WHAT?! Also, ich würde mich auch sehr über eine nähere Erklärung freuen, denn ich habe in den vergangenen zwei Monaten E-Mails vom PlayStation-Network erhalten, obwohl ich mich selbst nie angemeldet habe. Auch hier war meine Adresse ohne Punkt der Empfänger, doch das bin ich eben nicht. Gleiches Spiel letzte Woche mit einem anderen Anbieter. In beiden Fällen ging es um die Bestätigung der E-Mail-Adresse. Ich konnte sogar ein Passwort für den PS-Network Zugang erstellen. Im Umkehrschluss erhält also auch die andere Person ohne Punkt in der Mail-Adresse womöglich E-Mails, die an mich gerichtet wurden? Das kann doch alles nicht sein?!

    • Die Erklärung steht doch ausführlich im Artikel oben. Und das sollte mit ein Grund sein, keine Google-ich-nehme-mir-all-deine-Daten-Dienste zu nutzen.

      • Ist das die ausführliche Erklärung mit Hintergründen & Co., oder nur eine Beschreibung von Tatsachen? „Während Googles E-Mail-Dienst Punkte an beliebigen Stellen in eure E-Mail Adresse geflissentlich übersieht und eine E-Mail an TomTomaso@gmail.com ebenso zustellt wie eine E-Mail an Tom.Tomaso@gmail.com

    • Eine andere Person kann keine E-Mail Adresse registrieren, die sich von deiner nur durch die Punkte unterscheidet. Die Mails an diese Adressen kommen also nur bei dir an.

  • Die Erklärung steht doch ausführlich im Artikel oben. Und das sollte mit ein Grund sein, keine Google-ich-nehme-mir-all-deine-Daten-Dienste zu nutzen.

  • Auf diese Weise stellt Gmail sicher daß sich nicht sich als tom.tomaso ausgibt und Kontakte die tom.tomaso kennen an der Nase herumführt, indem er sich einfach eine ähnliche Adresse wie „tomtomaso“ als Absender einstellt und die Kontakte von „tom.tomaso“ anschreibt. Wenn diese nämlich dem nur vermeintlich Richtigen antworten, dann werden die Antworten an den richtigen tom.tomaso zugestellt.
    Eben ausprobiert – e-mails an VornameNachname gehen an Vorname.Nachname, sofern dieser eher da war. Neuanlage von VornameNachname wird abgelehnt wenn Vorname.Nachname bereits existiert.

  • Der Fehler liegt hier eindeutig bei Netflix, die E-Mail Adressen nicht verifizieren.

    Dadurch ist dies überhaupt erst möglich.

  • Es ist schade, das hier 9 Beiträge gepostet werden, anhand derer man sofort erkennt, das die das Thema nicht verstanden haben.

    Es geht nicht um Google, es geht um Netflix, dort kann man sich anmelden und Probesehen, OHNE das man eine Mailbestätigung mit Link zur Verifizierung bekommt.

    Und wenn Tom Clever ist und nicht seine Kreditkarte angibt, dann wird der Evil Doer das nächste Konto bei Netflix aufmachen für 4 Wochen mit der Email

    To.MTomaso@Gmail
    und übernächsten Monat mit
    T.omTomaso@Gmail

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 28379 Artikel in den vergangenen 4774 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2020 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven