Netflix za darmo poprzez phishing na odwrót: winne kropki w Gmailu?

Strona główna Aktualności
Ikona aplikacji Netflix z depositphotos
Ikona aplikacji Netflix z depositphotos

O autorze

Gmail jest uważany za jedną z najbezpieczniejszych usług pocztowych. Netflix też sobie pod względem bezpieczeństwa nic zarzucić nie może. Jednak jeśli połączymy Gmaila z Netfliksem, otwieramy drogę do ciekawego, subtelnego ataku phishingowego, o którym słynny ekspert od bezpieczeństwa Bruce Schneier powiedział, że jest przykładem tego, jak dwa nie mające podatności systemy po wzięciu razem tworzą taką podatność.

Programista James Fisher na swoim blogu wyjaśnia, jak można oszukać użytkowników Gmaila, wykorzystując jedną z mniej znanych, ale zamierzonych funkcji usługi pocztowej Google’a. Chodzi o kropki nie mają znaczenia, mechanizm za sprawą którego jesteśmy właścicielami wszystkich kropkowych wariantów nazwy konta Gmaila. Przykładowo ktoś, kto posiada konto jankowalski@gmail.com, odbierze też pocztę wysłaną na jan.kowalski@gmail.com, j.a.n.k.o.w.a.l.s.k.i@gmail.com czy jan...kowalski@gmail.com.

O tej osobliwości Gmaila nie mieli najwyraźniej pojęcia programiści Netfliksa. U nich, podobnie jak i w większości innych systemów informatycznych, jankowalski i jan.kowalski oznaczają różne konta. A to pozwala na subtelny atak phishingowy.

James Fisher, korzystający z gmailowego konta pod adresem jameshfisher@gmail.com otrzymał otóż z Netfliksa maila zaadresowanego na konto james.hfisher@gmail.com. Komunikat był prosty: konto zostało zablokowane ze względu na problemy z danymi niezbędnymi do płatności, operator usługi prosi o odświeżenie informacji (np. zmianę numeru karty kredytowej).

Jako że mail pochodził z domeny netflix.com i był wyraźnie adresowany do niego, Fisher nie podejrzewając żadnego phishingu kliknął czerwony przycisk i przekierowany został na stronę Netfliksa, gdzie miał wprowadzić dane swojej karty. I pewnie by to zrobił, gdyby nie jeden detal: numer podpiętej aktualnie karty niczego mu nie przypominał.

Tak, to nic innego jak zwykły scam, za sprawą którego można by było oglądać Netfliksa na czyjś koszt. Scenariusz ataku jest prosty. Należy otóż kolejno:

  1. Pomęczyć formularz logowania Netfliksa do momentu znalezienia adresu gmailowego, który zostanie zgłoszony jako już zarejestrowany (np. jameshfisher@gmail.com).
  2. Założyć próbne konto na Netfliksie z loginem różniącym się tylko kropką (np. james.hfisher).
  3. Zapisać się na okres próbny w Netfliksie podając jakieś wzięte z generatora numerów kart dane.
  4. Po rozpoczęciu przez Netfliksa sprawdzania karty, skasować ją.
  5. Poczekać aż Netflix obciąży rachunkiem skasowaną kartę, a następnie wyśle maila na adres james.hfisher@gmail.com z prośbą o właściwy numer.
  6. Czekać aż ofiara na swoim koncie jameshfisher@gmail.com odczyta mail wysłany na adres james.hfisher@gmail.com, uzna go za autentyczny i poda numer swojej karty kredytowej na stronie Netfliksa.
  7. Zmienić adres pocztowy przypisany do konta Netfliksa na jakiś inny, odcinając dostęp ofiary do konta.
  8. Korzystać z Netfliksa za darmo – dostęp opłacany jest z karty ofiary.

Kowal zawinił...?

Kto jest winien możliwości zaistnienia takiego scenariusza, najwyraźniej wykorzystywanego w praktyce? Można oczywiście stwierdzić, że Netflix powinien lepiej weryfikować adresy e-mail i znać politykę kropki bez znaczenia, nie powinien też wysyłać uwierzytelnionych linków, a żądać ponownego zalogowania się do konta.

Z drugiej jednak strony sam odkrywca tej próby oszustwa uważa że winne jest Google – a my możemy mu tylko przyklasnąć. Pomysł unieważnienia kropki doprowadził do sytuacji, w której każdy użytkownik konta na Gmailu jest posiadaczem nieskończonej liczby aliasów, o czym zwykle nie ma pojęcia. Otwiera to drogę do zupełnie nowej klasy nadużyć – mail jest wysłany nie z podejrzanego adresu, lecz na podejrzany adres.

Google powinno w końcu wycofać się ze swojej dziwacznej polityki i przyznać, że popełniło błąd. Korzystanie z nieskończonej liczby aliasów jeśli w ogóle ma sens, to powinno być opcjonalne, a nie przymusowe. Dodatkowo interfejs Gmaila powinien ostrzegać przed wszelkimi mailami wysłanymi na nietypową formę adresu.

Wspomniany Bruce Schneier pisze o sprawie na swoim blogu – i znacznie bardziej wstrzemięźliwie podchodzi do kwestii oceny Google’a. Przepowiada też, że w przyszłości będzie jeszcze gorzej, w miarę jak będziemy podłączali do siebie coraz więcej różnych systemów informatycznych, będą pojawiały się właśnie takie podatne na nadużycia interakcje, których nikt wcześniej nie mógł przewidzieć.

Jak się zabezpieczyć?

Nie jesteśmy w stanie zabezpieczyć się przed otrzymywaniem takich maili, jak ten który trafił do Jamesa Fishera. Możemy jednak zwiększyć bezpieczeństwo naszych danych i pieniędzy, stosując się do poniższych zaleceń:

  • Uważnie sprawdzajmy, czy przychodzący na Gmaila mail nie przedstawia jako odbiorcy pełnej nazwy konta. Maile wysłane dokładnie na nasz adres będą w liście odbiorców pokazywały ja.
  • Skorzystajmy z innego dostawcy poczty w celu komunikowania się z płatnymi usługami, takimi jak Netflix.
  • Zmieniając dane karty kredytowej, sprawdźmy, czy faktycznie jesteśmy zalogowani do swojego konta w płatnej usłudze.

© dobreprogramy
s