Netflix za darmo poprzez phishing na odwrót: winne kropki w Gmailu?

Gmail jest uważany za jedną z najbezpieczniejszych usługpocztowych. Netflix też sobie pod względem bezpieczeństwa niczarzucić nie może. Jednak jeśli połączymy Gmaila z Netfliksem,otwieramy drogę do ciekawego, subtelnego ataku phishingowego, októrym słynny ekspert od bezpieczeństwa Bruce Schneier powiedział,że jest przykładem tego, jak dwa nie mające podatności systemy powzięciu razem tworzą taką podatność.

Programista James Fisher na swoim blogu wyjaśnia,jak można oszukać użytkowników Gmaila, wykorzystując jedną z mniej znanych, ale zamierzonych funkcji usługi pocztowej Google’a.Chodzi o kropki nie mają znaczenia, mechanizm za sprawąktórego jesteśmy właścicielami wszystkich kropkowych wariantównazwy konta Gmaila. Przykładowo ktoś, kto posiada kontojankowalski@gmail.com, odbierze też pocztę wysłaną najan.kowalski@gmail.com, j.a.n.k.o.w.a.l.s.k.i@gmail.com czyjan...kowalski@gmail.com.

O tej osobliwości Gmaila nie mieli najwyraźniej pojęciaprogramiści Netfliksa. U nich, podobnie jak i w większości innychsystemów informatycznych, jankowalski i jan.kowalski oznaczająróżne konta. A to pozwala na subtelny atak phishingowy.

James Fisher, korzystający z gmailowego konta pod adresemjameshfisher@gmail.com otrzymał otóż z Netfliksa mailazaadresowanego na konto james.hfisher@gmail.com. Komunikat byłprosty: konto zostało zablokowane ze względu na problemy z danyminiezbędnymi do płatności, operator usługi prosi o odświeżenieinformacji (np. zmianę numeru karty kredytowej).

Jako że mail pochodził z domeny netflix.com i był wyraźnieadresowany do niego, Fisher nie podejrzewając żadnego phishingukliknął czerwony przycisk i przekierowany został na stronęNetfliksa, gdzie miał wprowadzić dane swojej karty. I pewnie by tozrobił, gdyby nie jeden detal: numer podpiętej aktualnie kartyniczego mu nie przypominał.

Tak, to nic innego jak zwykły scam, za sprawą którego można bybyło oglądać Netfliksa na czyjś koszt. Scenariusz ataku jestprosty. Należy otóż kolejno:

Kto jest winien możliwości zaistnienia takiego scenariusza,najwyraźniej wykorzystywanego w praktyce? Można oczywiściestwierdzić, że Netflix powinien lepiej weryfikować adresy e-mail iznać politykę kropki bez znaczenia, nie powinien teżwysyłać uwierzytelnionych linków, a żądać ponownego zalogowaniasię do konta.

Z drugiej jednak strony sam odkrywca tej próby oszustwa uważa żewinne jest Google – a my możemy mu tylko przyklasnąć. Pomysłunieważnienia kropki doprowadził do sytuacji, w której każdyużytkownik konta na Gmailu jest posiadaczem nieskończonej liczbyaliasów, o czym zwykle nie ma pojęcia. Otwiera to drogę dozupełnie nowej klasy nadużyć – mail jest wysłany nie zpodejrzanego adresu, lecz na podejrzany adres.

Google powinno w końcu wycofać się ze swojej dziwacznejpolityki i przyznać, że popełniło błąd. Korzystanie znieskończonej liczby aliasów jeśli w ogóle ma sens, to powinnobyć opcjonalne, a nie przymusowe. Dodatkowo interfejs Gmailapowinien ostrzegać przed wszelkimi mailami wysłanymi na nietypowąformę adresu.

Wspomniany Bruce Schneier pisze o sprawie na swoim blogu – iznacznie bardziej wstrzemięźliwie podchodzi do kwestii ocenyGoogle’a. Przepowiada też, że w przyszłości będzie jeszczegorzej, w miarę jak będziemy podłączali do siebie coraz więcejróżnych systemów informatycznych, będą pojawiały się właśnietakie podatne na nadużycia interakcje, których nikt wcześniej niemógł przewidzieć.

Nie jesteśmy w stanie zabezpieczyć się przed otrzymywaniem takich maili, jak ten który trafił do Jamesa Fishera. Możemy jednak zwiększyć bezpieczeństwo naszych danych i pieniędzy, stosując się do poniższych zaleceń:

• Uważnie sprawdzajmy, czy przychodzący na Gmaila mail nie przedstawia jako odbiorcy pełnej nazwy konta. Maile wysłane dokładnie na nasz adres będą w liście odbiorców pokazywały ja.
• Skorzystajmy z innego dostawcy poczty w celu komunikowania się z płatnymi usługami, takimi jak Netflix.
• Zmieniając dane karty kredytowej, sprawdźmy, czy faktycznie jesteśmy zalogowani do swojego konta w płatnej usłudze.