Vorsicht Phishing-Betrug: Netflix hat ein Problem mit Gmail und Punkten

Streaming, Netflix, Netflix Deutschland Bildquelle: Netflix
Netflix und Gmail zusammen bilden derzeit aus Sicht von Sicher­heits­experten eine unheilvolle Kombination: Wie ein Entwickler entdeckt hat, lässt sich durch die Eigenschaft von Gmail, auch Adressen mit beliebig gesetzten Punkten zu nutzen, bei Netflix ein einfacher Datendiebstahl durchführen.

Infografik: Netflix weiter auf WachstumskursNetflix weiter auf Wachstumskurs
Den Trick durchschaut hat der Entwickler James Fisher. Wie das Online-Magazin The Register berichtet, ist Fisher im Grunde selbst Opfer des Betrugs geworden und kam den Betrügern so auf die Spur. Nun warnt er vor Datenklau über Netflix-Konten, da Netflix wichtige Sicher­heits­bar­rieren nicht eingebaut hat. Das Ganze funktioniert so: Während es bei Gmail egal ist, ob man nun seine E-Mail-Adresse mit Punkten oder Großbuchstaben versieht, ist das bei Netflix nicht so. Eine E-Mail an WinFuture.Test@Gmail.com kommt ebenso an wie an Win.Future.Test@Gmail.com oder WinF.ut.ure.Test@Gmail.com.

Bei Netflix wären es aber drei mögliche verschiedene Account-Logins, denn der beliebte Streaminganbieter erkennt die Punkte quasi als Unterscheidungsmerkmal. Registrieren kann man einen Netflix-Account mit einer Gmail-Adresse aber, ohne sie verifizieren zu müssen.

Zahlungs-Daten werden erschlichen

Das machen sich unbekannte Trick-Betrüger zu Nutze. Sie legen sich beispielweise einen Account mit Win.Future.Test@Gmail.com an und hinterlegen Zahlungsdaten, zum Beispiel von Prepaid-Kreditkarten. Bei Netflix wird der Account aktiviert und alles läuft normal, bis die Zahlung fällig wird und kein Guthaben vorhanden ist. Netflix schickt dann automatisch eine Nachricht an die hinterlegte Gmail-Adresse, in der über die Sperrung des Accounts aufgrund ungültiger Zahlungsmethoden informiert wird.

Die E-Mail kommt aber, dadurch das Gmail die Punkte ignoriert, bei dem eigentlichen Gmail-Kontoinhaber an. Genau das ist James Fisher passiert. Jemand hat sich mit einer mit weiteren Punkten versehenen Adresse registriert, er bekam dann die Mitteilung von Netflix.

Nicht verifizierte Adressen

Dass die Mail kein Scam war oder ein einfacher Phishing-Versuch, prüfte Fisher gewissenhaft. Alles sah ganz ordnungsgemäß aus, außer, dass das dahinterstehende Netflix-Konto gar nicht mit seiner Gmail-Adresse verknüpft war - denn die Verifizierung erfolgt ja nicht bei Anmeldung. Nur in der Empfänger-E-Mail-Adresse lässt sich erkennen, dass hier nun ein Phishing-Versuch startet.

Klickt man nun den Link in der Benach­rich­ti­gung von Netflix, kommt man direkt auf die Zahlungsoptionen für den fremden Account, es ist kein Login nötig.

Wer jetzt seine echten Kreditkarten-Daten eingibt öffnet den Betrügern Tür und Tor für die Nutzung seiner Daten auf anderen Plattformen. Der Trick an sich zieht natürlich nur, wenn es einen Netflix-Account mit einer passenden Gmail-Adresse gibt, aber sich die zu beschaffen ist leicht.

Netflix wird was ändern müssen

Immerhin gibt es mittlerweile die Bestätigung von Netflix, dass man sich dem Problem angenommen hat. Eine Lösung gibt es aber derzeit noch nicht, daher gilt der immer nutzbare Tipp sich besser nicht über Links in E-Mails bei Accounts anzumelden, sondern lieber selbst den Weg über den Browser zu machen, selbst die Adresse einzugeben und den eigenen Login dort zu nutzen.


Download Netflix (APK) - Filme und Serien auf dem Smartphone schauen Streaming, Netflix, Netflix Deutschland Streaming, Netflix, Netflix Deutschland Netflix
Diese Nachricht empfehlen
Kommentieren17
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Tipp einsenden