Keine Ahnung, ob es viele Blog-Leser trifft, da es eine eher seltene Konstellation ist. Wer sich beim Video-Dienst Netflix mit einer GMail-Adresse registriert, wird anfällig für Phishing-Angriffe.
Anzeige
Netflix Inc. ist ein US-amerikanisches Unternehmen, das sich mit dem Verleih und der Produktion von Filmen und Serien beschäftigt. Ich gehe davon aus, dass auch einige Blog-Leser ein Benutzerkonto bei Netflix haben. So weit so gut.
Gmail ist der E-Mail-Dienst von Google, und Benutzer eines Android-Geräts haben i.d.R. auch ein Benutzerkonto über welches man auf das Gmail-Postfach zugreifen kann. Auch nichts ungewöhnliches – und beide Dienste, Netflix und Gmail sind eigentlich im Hinblick auf Phishing-Angriffe gehärtet.
Kombination Netflix und GMail ist übel
Ungünstig ist allerdings die Kombination aus Netflix-Konto, bei dem man sich mit einer Gmail-Mailadresse registriert hat. Dann wird man anfällig gegen Phishing-Angriffe. The Register beschreibt das treffend mit Gmail is secure. Netflix is secure. Together they're a phishing threat.
Entwickler James Fisher hat seine Erfahrungen hier beschrieben. Er erhielt eine legitime E-Mail von Netflix an james.hfisher@gmail.com, die Gmail an sein eigenes E-Mail-Konto – welches keine Punkte im Namen aufweist, umgeleitet hat.
Anzeige
Das Problem ist, dass Netflix, wie die meisten Systeme, Punkte in E-Mail-Adressen erkennt (also sind jameshfisher und james.hfisher unterschiedliche Konten). Für Gmail gilt dies aber nicht. Nachfolgende Abbildung zeigt die Nachricht an das E-Mail-Konto.
(Quelle: jameshfischer.com)
Seltsam, dachte sich der Empfänger, und schaute nach. Die E-Mail war von netflix.com, also hat er auf den Link geklickt und wurde bei Netflix angemeldet. Dann wurde er aber auf eine Seite "Update your credit or debit card" umgeleitet, die sogar von netflix.com gehostet. Bisher kein Phishing, aber die Seite zeigte die angeblich abgelehnte Kreditkarte als **** 2745. Dies war eine Kartennummer, die der Entwickler nicht kannte und bei der Überprüfung seiner Unterlagen auch nicht auftauchte.
Ungleiche Behandlung von E-Mail-Namen
Das weckte das Interesse von Janes H. Fischer, so dass er der Sache nachging. Irgendwann wurde ihm klar, dass diese E-Mail an james.hfisher@gmail.com gerichtet war, aber in seinem G-Mail-Postfach zugestellt wurde. Er hatte aber die E-Mail-Adresse jameshfisher@gmail.com (ohne )Punkte.
Er hatte also durch die Kombination Netflix mit GMail-Postfach eine nicht für ihn bestimmte Benachrichtigung erhalten. Da Netflix dieses Gmail "Feature", welches Punkte im Alias-Namen ausfiltert. Außerhalb des GMail-Kontos sind jameshfisher@gmail.com und james.hfisher@gmail.com unterschiedliche Identitäten und sollten ihre eigenen Netflix-Konten haben. James H. Fischer hatte sich für das Netflix-Konto N1 angemeldet, und 2013 die E-Mail-Adresse jameshfisher@gmail.com zugewiesen. Im September 2017 hat jemand, nennen wir sie "Eve", ein neues Netflix-Konto N2 erstellt, das james.hfisher@gmail.com zugeordnet ist.
Eve hat Zugang zu Konto N2, weil sie ihr Passwort bei der Anmeldung festgelegt hat, aber auch James H. Fischer hat auch Zugang zu diesem Konto, weil ich er die E-Mail james.hfisher@gmail.com besitzt. Denn er kann jederzeit einen Passwort-Reset-Prozess für dieses Konto anstoßen, was er auch getan hat. Damit erhielt er Zugriff auf dieses Konto und konnte die Daten einsehen. Dort sah er nicht nur, welche Filme 'Eve' konsumiert hatte, sondern dass die Kreditkarte irgendwann abgelehnt wurde. Das war dann der Zeitpunkt, wo ihm die E-Mail an sein GMail-Konto zugestellt wurde.
James H. Fischer ist unklar, ob jemand einfach eine GMail-Adresse bei der Netflix-Registrierung fehlerhaft eingetippt hat, oder ob dies nicht ein Betrugsversuch war. Er schreibt, dass er fast für den anderen Benutzer über seine Kreditkarte gezahlt hätte. Alleine die unbekannte Kreditkartennummer machte ihn stutzig – denn das Ganze war ja nicht als Phishing-Versuch erkennbar – die Mails stammten ja von Netflix und wurden über Gmail regulär weitergeleitet.
Falls jemand von euch die Kombination Netflix-Konto in Verbindung mit einer Gmail-Adresse nutzt, solltet ihr euch den Artikel von James H. Fischer durchlesen. Wer es lieber auf deutsch mag, inzwischen hat heise.de das Ganze hier aufgegriffen. Blog-Leser Michael T. hat mich zudem per Mail auf diesen deutschsprachigen Beitrag zum Thema aufmerksam gemacht.
Anzeige
Vielleicht blöde Frage, ist lange her daß ich mal einen Testmonat bei Netflix hatte und dafür einen Account anlegte (für den ich heute noch Mails bekomme ob ich nicht nochmal einen Testmonat will):
Wenn im obigen Beispiel die "Eve" das zweite Konto N2 mit der Email-Adresse mit Punkt anlegt, muß dann nicht Netflix eine Mail mit Aktivierungslink oder ähnlichem an die Adresse mit Punkt schicken? Die würde ja wieder beim ersten Nutzer eintreffen da GMail den Punkt ja ignoriert. Also müsste er den Vorgang der fremden Person selbst bestätigen, oder zumindest würde er informiert daß ein Account angelegt wurde denke ich.
Und "Eve" könnte sich vorab ja gar nicht die zweite Email-Adresse mit Punkt für sich sichern um Netflix-Mails selbst zu bekommen. Wenn GMail die Punkte ignoriert müsste sie das Anlegen der zweiten Adresse ja verweigern da "bereits vorhanden", oder liege ich das falsch?
Könnte zwar zutreffen, kann ich aber nicht beurteilen. Wenn der Blog-Beitrag des Herrn Fisher keine komplette Fake News war, ist es offenbar möglich gewesen, die Konstellation in der von ihm geschilderten Art anzulegen.
Nur mal so: Es könnte ja sein, dass da irgend ein anderes Konto zur Verifikation benutzt und später geändert wurde. Kann aber nicht Gegenstand dieses Blog-Beitrags sein. Denn dieser hat das Ziel 'Obacht, bei der und jener Konstellation könnte was sein – achte also darauf, was Du tust' zu vermitteln.
Da melden sich sicher viele mit einer G-Mail-Adresse an. Es werden ja ganz viele User genötigt bei der Android-Smartphone-Installation (bzw. man muss ja unbedingt bei "Google" angemeldet sein wenn man "Chrom" nutzt) eine solche anzulegen, die dann selbstverständlich auch genutzt wird.
Zu: 'man muss ja unbedingt bei "Google" angemeldet sein wenn man "Chrome" nutzt': Habe ich eine Informationslücke? Die Anmeldung ist doch nur erforderlich, wenn ich Chrome über Geräte synchronisieren will.
Richtig, machen aber viele.