Wer sich mit einer Gmail-Adresse auf Netflix angemeldet hat, sollte gewarnt sein: Bei der Kombination besteht eine Sicherheitslücke, die Betrüger ganz leicht ausnutzen können. Diese missbrauchen eine hilfreiche E-Mail-Funktion und profitieren von einem Fehler im Netflix-System. Das Problem entdeckte James Fisher, der einen auf ihn verübten Phishing-Versuch auffliegen ließ. Der Entwickler warnt nun vor der betrügerischen Masche, durch die ihr Fremden eure Kreditkartendaten mitteilt und für deren Account zahlt.
Zunächst zur Erklärung: Google-Mail berücksichtigt bei Nutzernamen weder Groß- und Kleinschreibungen noch Punkte. Das ist (eigentlich) insofern praktisch, da euch auch E-Mails erreichen, obwohl der Absender versehentlich einen Punkt gesetzt hat, wo eigentlich keiner hingehört. Bei Netflix könnt ihr euch zudem innerhalb von wenigen Augenblicken einfach mit eurer E-Mail-Adresse und einem Passwort anmelden.
Fehler liegt bei Netflix
Jetzt das Problem: Der Streaming-Dienstleister kann mit dem Gmail-Feature offenbar nichts anfangen. Für ihn sind "[email protected]" und "[email protected]" zwei unterschiedliche Adressen, obwohl sie tatsächlich zu ein und demselben Account gehören. Erschwerend kommt hinzu, dass ein Netflix-Account nicht per E-Mail verifiziert wird. An diesen beiden Fehlern im System des Streaming-Dienstes setzen die Cyberkriminellen an.
Sie probieren aus und suchen nach bereits registrierten Gmail-Adressen (zum Beispiel "[email protected]"). Sind sie fündig geworden, erstellen sie sich einen eigenen Account, indem sie die leicht abgewandelte E-Mail-Adresse des Opfers ("[email protected]") nutzen. In ihrem Account hinterlegen sie dann zum Beispiel eine Prepaid-Kreditkarte. Sobald diese nicht mehr gedeckt ist, verschickt Netflix eine E-Mail mit der Info, dass der Account gesperrt bleibt, bis die Zahlungsinformationen korrigiert wurden. Diese Information wird von Netflix zwar an "[email protected]" verschickt, erreicht aber den Nutzer von "[email protected]".
Was ihr tun könnt
Klickt der betroffene Nutzer nun auf einen Link in der E-Mail, landet er direkt im Account des Betrügers. Er muss sich nicht noch extra einloggen. Gibt er dort seine Kreditkartennummer ein, bezahlt er dem Betrüger fortan dessen Netflix-Account. Dieser kann die E-Mail-Adresse ändern und das Opfer somit aussperren. Noch schlimmer: Die Zahlungsinformationen kann der Kriminelle auf anderen Plattformen ebenfalls nutzen. Bis Netflix das Problem gelöst hat, solltet ihr euren Account also lieber nicht mit einem Gmail-Konto verknüpfen und aufpassen, wo ihr eure Zahlungsdaten eintippt.