18. April 2018, 17:46 Uhr | Lesezeit: 4 Minuten
Netflix-Kunden, die eine Gmail-Adresse nutzen, können Opfer von Betrügern werden. Das behauptet ein britischer Sicherheitsexperte. Aber kann das sein? TECHBOOK hakt nach.
Viele Nutzer von Netflix verwenden eine Gmail-Adresse für ihre Anmeldung. Das kann ein hohes Sicherheitsrisiko mit sich bringen, meint zumindest der britische Sicherheitsforscher James Fisher in einem Blog-Beitrag.
Fisher ist sich sicher, eine Sicherheitslücke bei Netflix in Kombination mit der Nutzung einer Gmail-Adresse gefunden zu haben. Er selbst wurde eines Tages per Mail aufgefordert, für seinen Account die Zahlungsinformationen erneut einzugeben. Da die E-Mail wirklich von Netflix stammte, loggte er sich ein und wurde gebeten, seine Kreditkarten-Details zu erneuern. Erst dort fiel Fisher auf, dass zuvor eine andere Kreditkartennummer angegeben wurde, die nicht von ihm stammt.
https://www.techbook.de/entertainment/streaming/netflix-tipps-tricks
Punkte machen den Unterschied
Anschließend entdeckte der Sicherheitsforscher, dass die Mail, die er erhalten hatte, gar nicht an seine eigentliche E-Mailadresse „jameshfisher@gmail.com“, sondern an „james.hfisher@gmail.com“ adressiert war. Die Mail sollte also eigentlich an eine Gmail-Adresse mit dem Punkt in der Mitte gehen, erreichte aber dennoch das Postfach von „jameshfisher@gmail.com“.
Das Problem: Bei Gmail zählen Punkte nicht. Auch wenn jemand Ihrer Gmail-Adresse fälschlicherweise Punkte hinzufügt, erhalten Sie dadurch die E-Mail. Wenn die Adresse svenmueller@gmail.com ist, würden Sie auch Mails erhalten, die an sven.mueller@gmail.com, s.v.e.n.m.u.e.l.l.e.r@gmail.com oder sv.en.mue.ller@gmail.com geschickt wurden.
Bei Netflix jedoch würden die Mailadressen sven.mueller@gmail.com und sv.en.mue.ller@gmail.com als unterschiedliche Identitäten zählen. Deshalb konnte sich bei dem Account von James Fisher eine andere Person anmelden. Das liegt auch daran, dass Netflix Mailadressen nach der Anmeldung nicht verifiziert. Dies sei ein großes Problem, „weil Google sich mit dem Punkt im Namen austricksen lässt“, erklärt Götz Schartner, Geschäftsführer der Informationssicherheitsfirma 8com GmbH & Co. KG gegenüber TECHBOOK. Die Sicherheitslücke hätte aber auch einen anderen Provider treffen können.
Auch interessant: So passen Sie Untertitel auf Netflix an
So könnte das Feature Betrügern nutzen
Diese Lücke könnten Betrüger bewusst nutzen und so lange versuchen, eine bereits vergebene Gmail-Adresse bei Netflix zu finden, bis der Streaminganbieter bei der Anmeldung mitteilt, dass diese bereits verwendet wird.
Anschließend könnten sich die Betrüger einen Account mit der Mailadresse anlegen und für die kostenlose Testphase mit einer Wegwerf-Kreditkarte anmelden. Sobald Netflix die Karte überprüfen will, könnten Betrüger die Karte canceln. Nun würde Netflix die automatische Mail mit der Aufforderung nach den Zahlungsinformationen an die Mailadresse des Netflix-Kunden senden. Gibt dieser eine aktive Kreditkarte an, weil er glaubt, dass es für seinen eigenen Netflix-Account ist, kann der Betrüger die Mailadresse des Accounts ändern und auf Kosten des Opfers Netflix schauen.
Wenn ein Nutzer eine aufladbare Prepaid-Kreditkarte als Zahlungsmittel hinterlegt, das Guthaben auf dieser nicht mehr ausreicht, erhält der Nutzer eine Mail. Darin wird er von Netflix aufgefordert, die Zahlungsinformationen zu überarbeiten. Geht diese Mail nun an unterschiedliche Gmail-Adressen und kommt ein Netflix-Kunde der Aufforderung des Streamingdienstes nach, kann es passieren, dass nun auch Dritte die Kreditkartendaten sehen können.
Es handele sich bei einem solchen Betrug nicht um einen klassischen Phishing-Angriff. „Hier geht es mehr darum, Daten abzufischen, um damit den Netflix-Service zu nutzen“, erklärt Götz Schartner. Generell sei das Wichtigste, dass beim Surfen mitgedacht werde und zum Beispiel nicht unbedacht Aufforderungen oder Links in E-Mails gefolgt wird. Sicherheitsforscher James Fisher spricht sich deshalb dafür aus, dass Gmail künftig die Nichtbeachtung von Punkten in Mailadressen abzuschalten, damit ein Missbrauch dieses Features unmöglich wird.
Darum sollten Sie Netflix nicht mit Chrome oder Firefox gucken
Anleitung Gmail-Account mit anderen E-Mail-Konten verknüpfen
Vorsicht Mit dieser Email werden Netflix-Nutzer betrogen!
Verbraucherschützer warnen Gratis-Monate bei Netflix? Vorsicht vor der neuen Betrugsmasche
Netflix ist das Problem bekannt
„Netflix ist diese Gmail-spezifische Besonderheit bekannt und das Unternehmen arbeitet aktiv an Maßnahmen, die davor schützen, dass sie böswillig gegen Netflix oder Netflix-Mitglieder genutzt wird. Netflix-Mitglieder, die mehr darüber erfahren möchten, wie sie ihre persönlichen Daten gegen Betrug oder andere böswillige Aktivitäten schützen, können unter www.netflix.com/privacy darüber mehr erfahren und sollten umgehend den Netflix-Kundendienst kontaktieren, wenn sie etwas Ungewöhnliches an ihrem Account bemerken“, erklärt Netflix auf Nachfrage gegenüber TECHBOOK. Bis Netflix oder Google das Problem behoben haben, sollten Netflix-Nutzer besser keine Gmail-Adresse verwenden.