Die Kombination von Googlemail und Netflix begünstigt Phishingmails
Wer sich mit einer Googlemail-Adresse bei Netflix registriert hat, muss besonders wachsam sein und sich vor Betrügern in Acht nehmen.
(Bild: James Fisher)
Wenn eine Mail mit einer Zahlungsaufforderung von Netflix im Googlemail-Postfach landet, sollte man ganz genau hinschauen: Dahinter könnte ein Betrüger stecken, der auf der Jagd nach Kreditkartendaten ist. Dabei handelt es sich aber um keine klassische Phishing-Mail, schließlich sind der Absender und der Link in der Mail legitim – die Nachricht stammt also wirklich von Netflix. Auf diese Masche ist der Sicherheitsforscher James Fisher gestoßen und führt dies in seinem Blog aus.
Die Kombination machts
Klickt man auf den Link zum Aktualisieren der Abrechnungsdaten, landet man ohne Umwege in den Zahlungseinstellungen eines Netflix-Accounts – unter Umständen ist dies jedoch nicht das eigene Konto. Fügt man dort die eigenen Kreditkartendaten ein, finanziert man gegebenenfalls einen fremden Account.
Das funktioniert, weil Googlemail und Netflix jeweils anders mit E-Mail-Adressen umgehen. Googlemail ignoriert Punkte in Mail-Adressen. Demzufolge sind die Adressen heisesecurity@googlemail.com und heise.sec.urity@googlemail.com für den Service identisch. Hat man die erste Adresse registriert und schickt jemand eine Mail an die zweite Adresse, landet diese im Account der ersten Adresse. Dieses Feature hat Google 2008 eingeführt, damit Googlemail-Nutzer flexibler mit ihrer Adresse sind.
Netflix ignoriert Punkte in Mail-Adressen wiederum nicht. So könnte sich jemand mit heise.sec.urity@googlemail.com bei Netflix anmelden und die Daten einer Einweg-Kreditkarte hinterlegen. Läuft dies ab, schickt Netflix eine Zahlungsaufforderung an heise.sec.urity@googlemail.com, die jedoch im Postfach von heisesecurity@googlemail.com landet. Klickt der Empfänger auf den Link, landet er im falschen Netflix-Konto.
Betrug erkennen, Problem lösen
Damit der Inhaber von heisesecurity@googlemail.com den Betrug erkennt, muss er im Webmail-Interface von Googlemail ganz genau hinschauen: Im Falle einer betrügerischen Mail steht dort unter dem Absender nicht "an mich", sondern heise.sec.urity@googlemail.com.
Um diese Schwachstelle und mögliche weitere Betrügereien vorzubeugen, sollten beide Anbieter aktiv werden. So dürfte Google Punkte in Mail-Adressen künftig nicht mehr ignorieren. Netflix sollte einen Log-in-Zwang verhängen, wenn ein Nutzer auf den Link in einer Mail mit einer Zahlungsaufforderung klickt. Zudem sollte der Streaming-Anbieter eine Verifizierung von E-Mail-Adressen vor der Account-Nutzung verpflichtend machen. (des)
