Warum Netflix-Nutzer mit Gmail-Account aufpassen sollten

Wer ein Netflix-Konto mit einem Gmail-Benutzernamen hat, kann Opfer eines Betrugs werden.

von Simon Gröflin 12.04.2018

Nutzer, die mit einem Gmail-Konto bei Netflix registriert sind, könnten theoretisch abgezockt werden. Denn Kriminelle versuchen derzeit, an Kreditkartendaten der Streamingdienst-Abonnenten zu gelangen. Die Betrüger sind darauf aus, dass Gmail einerseits nicht zwischen Gross- und Kleinschreibung eines Nutzernamens unterscheidet und andererseits auch Punkte in den Adressnamen ignoriert. Bei der Onlinevideothek wird das ausgenutzt, weil sich theoretisch mehrere User mit ähnlichen E-Mail-Adressen für dasselbe Netflix-Konto registrieren können. Reicht das Geld einer Kreditkarte oder Prepaid-Karte nicht mehr, landet eine Zahlungserinnerung mit den hinterlegten Karteninformationen somit möglicherweise in mehreren Postfächern. Die zweite Schwachstelle: Netflix führt offenbar keine E-Mail-Validierung durch, wenn man sich registriert. 

Wie Cyberganoven die sich daraus ergebende Sicherheitslücke ausnutzen können, beschreibt der Sicherheitsforscher James Fisher in einem typischen Vorgehen: 

1. Ausgangsszenario: Der Kreditkartengauner will sich auf einen bestimmten Namen eine gmail.com-Adresse anlegen und diese ist schon bei Gmail registriert. Sagen wir, man suche nach dem Opfer simongroeflin.

2. Dann generiere man einfach eine Adresse wie simon.groeflin. 

3. Der Täter registriert sich nun für eine Gratis-Mitgliedschaft bei Netflix mit einer Prepaid-Kreditkarte und bricht diese nach der Gratis-Periode ab. 

4. Dann fragt Netflix wieder simon.groeflin nach einer gültigen Karte.

5. Der Täter muss dann nur noch darauf hoffen, dass Netflix die Zahlungsaufforderung an simongroeflin schickt und der andere User seine Karteninformationen eintippt. 

6. Danach wird der Netflix-Account einfach übernommen, indem der Täter auch die E-Mail-Adresse beim Netflix-Konto auswechselt. 

7. Jetzt kann der neue User eine längere Zeit gratis Netflix schauen und der User simongroeflin ist ausgesperrt.

Wir konnten noch nicht überprüfen, ob diese Masche derzeit nur mit US-Zahlungsmitteln ausgenutzt werden kann. Auf jeden Fall sollten User im Moment vielleicht besser nicht Gmail als Netflix-E-Mail-Adresse hinterlegen, bis hier eine neue Authentifizierung greift. Schlussendlich will auch Netflix nur nutzerfreundlich sein. Eine initiale Aktivierungsmail für Netflix wäre aber sicher keine schlechte Idee.

Tags: Netflix

    Kommentare

    • famkel 13.04.2018, 12.42 Uhr

      Gestern bekam ich ebenfalls ein Mail, aber nicht auf Gmail sondern postmail.ch! Also auch auf anderen Kontos aufpassen...

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.