Hunderte Millionen Menschen besitzen einen Account bei Googles Freemailer GMail. Viele weitere Millionen Nutzer besitzen auch ein Konto beim Videoportal Netflix, bei dem die populären Serien und Filme gestreamt werden. Die Schnittmenge dieser beiden Nutzer ist nun allerdings akut gefährdet, da durch Lücken auf beiden Seiten ein täuschend echtes Phishing möglich ist, mit dem sich die Angreifer ihren Netflix-Genuss vom Opfer finanzieren lassen können.
Phishing war und ist ein großes Problem, auf das aber immer mehr Menschen sensibilisiert sind und merkwürdige E-Mails, Formulare oder Daten-Abfragen hinterfragen. Doch auch die Phisher legen natürlich nach und verbessern ihre Methoden immer weiter, die dann in einigen Fällen auch für versierte Nutzer nur schwer bis gar nicht zu erkennen sind. Ein neuer Fall ist auf klassischem Wege nun gar nicht mehr zu erkennen.
Jetzt ist ein Fall bekannt geworden, bei dem Netflix-Nutzer eine E-Mail von der Streamingplattform bekommen, in der sie zur Aktualisierung ihrer Zahlungsdaten aufgefordert werden. Doch die Alarmglocken schrillen umsonst, denn die Mail stammt tatsächlich von Netflix und führt auch zur Webseite des Anbieters – allerdings in das falsche Konto. Wer nicht aufpasst, gibt seine Zahlungsdaten in ein fremdes Konto ein und finanziert so einem fremden Nutzer den Videogenuss.
Möglich wir das durch mehrere Schwachstellen bzw. Features von GMail und Netflix. GMail erlaubt das Anlegen von unendlichen E-Mail-Adressen und unterscheidet nicht zwischen gwb@gmail.com und g.w.@gmail.com. Für GMail ist das ein- und dieselbe Adresse, für Netflix hingegen sind es zwei komplett verschiedene Konten. Und dann erlaubt Netflix auch noch die Registrierung eines neuen Kontos, ohne die E-Mail-Adresse zuvor zu überprüfen.
Die Angreifer müssen also nur eine solche gefälschte E-Mail-Adresse angeben, die Daten einer Einmal-Kreditkarte angeben und darauf warten, dass die Daten ablaufen und Netflix nach neuen Zahlungsdaten fragt. g.w.bgmail.com kann so auf Kosten von gwb@gmail.com bis zum Umfallen streamen, ohne dass der Zahlende das tatsächlich bemerkt (außer er schaut sich die KK-Abrechnung genauer an).
Der Fehler passiert aber nicht nur bei der Registrierung und der Behandlung von E-Mail-Adressen bei GMail, sondern liegt auch an Netflix nicht vorhandener Sicherheit. Wer einen Link in einer E-Mail von Netflix anklickt, wird automatisch und ohne Eingabe eines Passworts in diesem Konto angemeldet. Dadurch fällt es dem Nutzer auch gar nicht auf, dass die Zahlungsdaten in das falsche Konto eingetragen werden.
So läuft das ganze dann ab
- Hammer the Netflix signup form until you find a gmail.com address which is “already registered”. Let’s say you find the victim jameshfisher.
- Create a Netflix account with address james.hfisher.
- Sign up for free trial with a throwaway card number.
- After Netflix applies the “active card check”, cancel the card.
- Wait for Netflix to bill the cancelled card. Then Netflix emails james.hfisher asking for a valid card.
- Hope Jim reads the email to james.hfisher, assumes it’s for his Netflix account backed by jameshfisher, then enters his card **** 1234.
- Change the email for the Netflix account to eve@gmail.com, kicking Jim’s access to this account.
- Use Netflix free forever with Jim’s card **** 1234!
Würde Netflix einfach den automatischen Login abschaffen oder E-Mail-Adressen vorher überprüfen, gäbe es das Problem gar nicht. Nach dieser Geschichte wird sich sicher relativ schnell etwas daran ändern. Der Schaden bei diesen Angriffen hält sich natürlich vergleichsweise in Grenzen, da „nur“ das Fernsehvergnügen des Angreifers finanziert wird und nicht das Konto leergeräumt werden kann. Dennoch sehr sehr ärgerlich.
Siehe auch
» Tipp: So lassen sich unendlich viele E-Mail-Adressen aus einer einzigen GMail-Adresse erstellen
» Mehr zum Thema Phishing bei Google-Nutzern
[heise]