Netflix za darmo poprzez phishing na odwrót: winne kropki w Gmailu?

Netflix za darmo poprzez phishing na odwrót: winne kropki w Gmailu?10.04.2018 15:05
Ikona aplikacji Netflix z depositphotos

Gmail jest uważany za jedną z najbezpieczniejszych usługpocztowych. Netflix też sobie pod względem bezpieczeństwa niczarzucić nie może. Jednak jeśli połączymy Gmaila z Netfliksem,otwieramy drogę do ciekawego, subtelnego ataku phishingowego, októrym słynny ekspert od bezpieczeństwa Bruce Schneier powiedział,że jest przykładem tego, jak dwa nie mające podatności systemy powzięciu razem tworzą taką podatność.

Programista James Fisher na swoim blogu wyjaśnia,jak można oszukać użytkowników Gmaila, wykorzystując jedną z mniej znanych, ale zamierzonych funkcji usługi pocztowej Google’a.Chodzi o kropki nie mają znaczenia, mechanizm za sprawąktórego jesteśmy właścicielami wszystkich kropkowych wariantównazwy konta Gmaila. Przykładowo ktoś, kto posiada kontojankowalski@gmail.com, odbierze też pocztę wysłaną najan.kowalski@gmail.com, j.a.n.k.o.w.a.l.s.k.i@gmail.com czyjan...kowalski@gmail.com.

O tej osobliwości Gmaila nie mieli najwyraźniej pojęciaprogramiści Netfliksa. U nich, podobnie jak i w większości innychsystemów informatycznych, jankowalski i jan.kowalski oznaczająróżne konta. A to pozwala na subtelny atak phishingowy.

James Fisher, korzystający z gmailowego konta pod adresemjameshfisher@gmail.com otrzymał otóż z Netfliksa mailazaadresowanego na konto james.hfisher@gmail.com. Komunikat byłprosty: konto zostało zablokowane ze względu na problemy z danyminiezbędnymi do płatności, operator usługi prosi o odświeżenieinformacji (np. zmianę numeru karty kredytowej).

Jako że mail pochodził z domeny netflix.com i był wyraźnieadresowany do niego, Fisher nie podejrzewając żadnego phishingukliknął czerwony przycisk i przekierowany został na stronęNetfliksa, gdzie miał wprowadzić dane swojej karty. I pewnie by tozrobił, gdyby nie jeden detal: numer podpiętej aktualnie kartyniczego mu nie przypominał.

Tak, to nic innego jak zwykły scam, za sprawą którego można bybyło oglądać Netfliksa na czyjś koszt. Scenariusz ataku jestprosty. Należy otóż kolejno:

Kowal zawinił...?

Kto jest winien możliwości zaistnienia takiego scenariusza,najwyraźniej wykorzystywanego w praktyce? Można oczywiściestwierdzić, że Netflix powinien lepiej weryfikować adresy e-mail iznać politykę kropki bez znaczenia, nie powinien teżwysyłać uwierzytelnionych linków, a żądać ponownego zalogowaniasię do konta.

Z drugiej jednak strony sam odkrywca tej próby oszustwa uważa żewinne jest Google – a my możemy mu tylko przyklasnąć. Pomysłunieważnienia kropki doprowadził do sytuacji, w której każdyużytkownik konta na Gmailu jest posiadaczem nieskończonej liczbyaliasów, o czym zwykle nie ma pojęcia. Otwiera to drogę dozupełnie nowej klasy nadużyć – mail jest wysłany nie zpodejrzanego adresu, lecz na podejrzany adres.

Google powinno w końcu wycofać się ze swojej dziwacznejpolityki i przyznać, że popełniło błąd. Korzystanie znieskończonej liczby aliasów jeśli w ogóle ma sens, to powinnobyć opcjonalne, a nie przymusowe. Dodatkowo interfejs Gmailapowinien ostrzegać przed wszelkimi mailami wysłanymi na nietypowąformę adresu.

Wspomniany Bruce Schneier pisze o sprawie na swoim blogu – iznacznie bardziej wstrzemięźliwie podchodzi do kwestii ocenyGoogle’a. Przepowiada też, że w przyszłości będzie jeszczegorzej, w miarę jak będziemy podłączali do siebie coraz więcejróżnych systemów informatycznych, będą pojawiały się właśnietakie podatne na nadużycia interakcje, których nikt wcześniej niemógł przewidzieć.

Jak się zabezpieczyć?

Nie jesteśmy w stanie zabezpieczyć się przed otrzymywaniem takich maili, jak ten który trafił do Jamesa Fishera. Możemy jednak zwiększyć bezpieczeństwo naszych danych i pieniędzy, stosując się do poniższych zaleceń:

  • Uważnie sprawdzajmy, czy przychodzący na Gmaila mail nie przedstawia jako odbiorcy pełnej nazwy konta. Maile wysłane dokładnie na nasz adres będą w liście odbiorców pokazywały ja.
  • Skorzystajmy z innego dostawcy poczty w celu komunikowania się z płatnymi usługami, takimi jak Netflix.
  • Zmieniając dane karty kredytowej, sprawdźmy, czy faktycznie jesteśmy zalogowani do swojego konta w płatnej usłudze.
Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na