Phishing bei Netflix: Darum gehen Nutzer mit Gmail-Konto ein Risiko ein

Netflix hat eine Sicherheitslücke zu beheben
Netflix hat eine Sicherheitslücke zu beheben(© 2017 CURVED)

Wer sich mit einer Gmail-Adresse auf Netflix angemeldet hat, sollte gewarnt sein: Bei der Kombination besteht eine Sicherheitslücke, die Betrüger ganz leicht ausnutzen können. Diese missbrauchen eine hilfreiche E-Mail-Funktion und profitieren von einem Fehler im Netflix-System. Das Problem entdeckte James Fisher, der einen auf ihn verübten Phishing-Versuch auffliegen ließ. Der Entwickler warnt nun vor der betrügerischen Masche, durch die ihr Fremden eure Kreditkartendaten mitteilt und für deren Account zahlt.

Zunächst zur Erklärung: Google-Mail berücksichtigt bei Nutzernamen weder Groß- und Kleinschreibungen noch Punkte. Das ist (eigentlich) insofern praktisch, da euch auch E-Mails erreichen, obwohl der Absender versehentlich einen Punkt gesetzt hat, wo eigentlich keiner hingehört. Bei Netflix könnt ihr euch zudem innerhalb von wenigen Augenblicken einfach mit eurer E-Mail-Adresse und einem Passwort anmelden.

Fehler liegt bei Netflix

Jetzt das Problem: Der Streaming-Dienstleister kann mit dem Gmail-Feature offenbar nichts anfangen. Für ihn sind "maxmustermann@gmail.com" und "max.muster.mann@gmail.com" zwei unterschiedliche Adressen, obwohl sie tatsächlich zu ein und demselben Account gehören. Erschwerend kommt hinzu, dass ein Netflix-Account nicht per E-Mail verifiziert wird. An diesen beiden Fehlern im System des Streaming-Dienstes setzen die Cyberkriminellen an.

Sie probieren aus und suchen nach bereits registrierten Gmail-Adressen (zum Beispiel "maxmustermann@gmail.com"). Sind sie fündig geworden, erstellen sie sich einen eigenen Account, indem sie die leicht abgewandelte E-Mail-Adresse des Opfers ("max.muster.mann@gmail.com") nutzen. In ihrem Account hinterlegen sie dann zum Beispiel eine Prepaid-Kreditkarte. Sobald diese nicht mehr gedeckt ist, verschickt Netflix eine E-Mail mit der Info, dass der Account gesperrt bleibt, bis die Zahlungsinformationen korrigiert wurden. Diese Information wird von Netflix zwar an "max.muster.mann@gmail.com" verschickt, erreicht aber den Nutzer von "maxmustermann@gmail.com".

Was ihr tun könnt

Klickt der betroffene Nutzer nun auf einen Link in der E-Mail, landet er direkt im Account des Betrügers. Er muss sich nicht noch extra einloggen. Gibt er dort seine Kreditkartennummer ein, bezahlt er dem Betrüger fortan dessen Netflix-Account. Dieser kann die E-Mail-Adresse ändern und das Opfer somit aussperren. Noch schlimmer: Die Zahlungsinformationen kann der Kriminelle auf anderen Plattformen ebenfalls nutzen. Bis Netflix das Problem gelöst hat, solltet ihr euren Account also lieber nicht mit einem Gmail-Konto verknüpfen und aufpassen, wo ihr eure Zahlungsdaten eintippt.


Weitere Artikel zum Thema
Xiaomi Mi7 könnte im Spät­som­mer mit 3D-Gesichts­er­ken­nung erschei­nen
Christoph Lübben
Das Xiaomi Mi6 erhält wohl im Spätsommer einen Nachfolger
Das Xiaomi Mi7 soll mit einer 3D-Gesichtserkennung erscheinen. Womöglich wird es das erste Android-Smartphone mit dieser Technologie.
Top Ten: Das sind die besten Marvel-Filme aller Zeiten
Markus Fiedler1
Haben sich die Guradians in unserer Top Ten platziert?
40 (!) Marvel-Filme wurden bereits produziert. Viele sind sehr gut geworden, einige überzeugten weniger. Hier kommt unsere Bestenliste.
Abofalle: Vorsicht bei kosten­lo­sen Test-Versio­nen von iOS-Apps
Michael Keller2
Manche Apps unter iOS werben mit kostenlosen Probezeiträumen
Seit einer Weile dürfen Entwickler iOS-Apps zum Testen gratis anbieten. Beim Ausprobieren solltet ihr darauf achten, teure Abofallen zu vermeiden.