Phishing bei Netflix: Darum gehen Nutzer mit Gmail-Konto ein Risiko ein

Netflix hat eine Sicherheitslücke zu beheben
Netflix hat eine Sicherheitslücke zu beheben(© 2017 CURVED)

Wer sich mit einer Gmail-Adresse auf Netflix angemeldet hat, sollte gewarnt sein: Bei der Kombination besteht eine Sicherheitslücke, die Betrüger ganz leicht ausnutzen können. Diese missbrauchen eine hilfreiche E-Mail-Funktion und profitieren von einem Fehler im Netflix-System. Das Problem entdeckte James Fisher, der einen auf ihn verübten Phishing-Versuch auffliegen ließ. Der Entwickler warnt nun vor der betrügerischen Masche, durch die ihr Fremden eure Kreditkartendaten mitteilt und für deren Account zahlt.

Zunächst zur Erklärung: Google-Mail berücksichtigt bei Nutzernamen weder Groß- und Kleinschreibungen noch Punkte. Das ist (eigentlich) insofern praktisch, da euch auch E-Mails erreichen, obwohl der Absender versehentlich einen Punkt gesetzt hat, wo eigentlich keiner hingehört. Bei Netflix könnt ihr euch zudem innerhalb von wenigen Augenblicken einfach mit eurer E-Mail-Adresse und einem Passwort anmelden.

Fehler liegt bei Netflix

Jetzt das Problem: Der Streaming-Dienstleister kann mit dem Gmail-Feature offenbar nichts anfangen. Für ihn sind "maxmustermann@gmail.com" und "max.muster.mann@gmail.com" zwei unterschiedliche Adressen, obwohl sie tatsächlich zu ein und demselben Account gehören. Erschwerend kommt hinzu, dass ein Netflix-Account nicht per E-Mail verifiziert wird. An diesen beiden Fehlern im System des Streaming-Dienstes setzen die Cyberkriminellen an.

Sie probieren aus und suchen nach bereits registrierten Gmail-Adressen (zum Beispiel "maxmustermann@gmail.com"). Sind sie fündig geworden, erstellen sie sich einen eigenen Account, indem sie die leicht abgewandelte E-Mail-Adresse des Opfers ("max.muster.mann@gmail.com") nutzen. In ihrem Account hinterlegen sie dann zum Beispiel eine Prepaid-Kreditkarte. Sobald diese nicht mehr gedeckt ist, verschickt Netflix eine E-Mail mit der Info, dass der Account gesperrt bleibt, bis die Zahlungsinformationen korrigiert wurden. Diese Information wird von Netflix zwar an "max.muster.mann@gmail.com" verschickt, erreicht aber den Nutzer von "maxmustermann@gmail.com".

Was ihr tun könnt

Klickt der betroffene Nutzer nun auf einen Link in der E-Mail, landet er direkt im Account des Betrügers. Er muss sich nicht noch extra einloggen. Gibt er dort seine Kreditkartennummer ein, bezahlt er dem Betrüger fortan dessen Netflix-Account. Dieser kann die E-Mail-Adresse ändern und das Opfer somit aussperren. Noch schlimmer: Die Zahlungsinformationen kann der Kriminelle auf anderen Plattformen ebenfalls nutzen. Bis Netflix das Problem gelöst hat, solltet ihr euren Account also lieber nicht mit einem Gmail-Konto verknüpfen und aufpassen, wo ihr eure Zahlungsdaten eintippt.


Weitere Artikel zum Thema
Disney+: Warum ihr Die Simp­sons im April noch nicht schauen soll­tet
Guido Karsten
Auch "Die Simpsons" zählen zum Streaming-Angebot von Disney+
Dank der Übernahme von Fox hat Disney+ auch alle Staffeln der "Simpsons" im Katalog. Fans der Serie könnten aktuell aber etwas vermissen.
MIUI 12 Featu­res: Das könnt ihr bald mit eurem Xiaomi-Smart­phone machen
Claudia Krüger
Neue Features für Xiaomi-Smartphones.
Ihr seid neugierig auf MIUI 12? Ein Entwickler gewährt uns jetzt schon einige Einblicke in die erste Vorabversion.
iOS 14: Vorab­ver­sion verrät neue Details zu Apples Betriebs­sys­tem
Claudia Krüger
iOS 14 soll mehr Sicherheit bieten.
Apple sorgt bei iOS 14 für besseren Datenschutz: Angeblich soll der Passwortmanager sensible Daten auf eurem iPhone oder iPad besser schützen.