Netflix za darmo poprzez phishing na odwrót: winne kropki w Gmailu?

Programista James Fisher na swoim blogu wyjaśnia,jak można oszukać użytkowników Gmaila, wykorzystując jedną z mniej znanych, ale zamierzonych funkcji usługi pocztowej Google’a.Chodzi o kropki nie mają znaczenia, mechanizm za sprawąktórego jesteśmy właścicielami wszystkich kropkowych wariantównazwy konta Gmaila. Przykładowo ktoś, kto posiada kontojankowalski@gmail.com, odbierze też pocztę wysłaną najan.kowalski@gmail.com, j.a.n.k.o.w.a.l.s.k.i@gmail.com czyjan...kowalski@gmail.com.

O tej osobliwości Gmaila nie mieli najwyraźniej pojęciaprogramiści Netfliksa. U nich, podobnie jak i w większości innychsystemów informatycznych, jankowalski i jan.kowalski oznaczająróżne konta. A to pozwala na subtelny atak phishingowy.

James Fisher, korzystający z gmailowego konta pod adresemjameshfisher@gmail.com otrzymał otóż z Netfliksa mailazaadresowanego na konto james.hfisher@gmail.com. Komunikat byłprosty: konto zostało zablokowane ze względu na problemy z danyminiezbędnymi do płatności, operator usługi prosi o odświeżenieinformacji (np. zmianę numeru karty kredytowej).

Jako że mail pochodził z domeny netflix.com i był wyraźnieadresowany do niego, Fisher nie podejrzewając żadnego phishingukliknął czerwony przycisk i przekierowany został na stronęNetfliksa, gdzie miał wprowadzić dane swojej karty. I pewnie by tozrobił, gdyby nie jeden detal: numer podpiętej aktualnie kartyniczego mu nie przypominał.

Tak, to nic innego jak zwykły scam, za sprawą którego można bybyło oglądać Netfliksa na czyjś koszt. Scenariusz ataku jestprosty. Należy otóż kolejno:

Kto jest winien możliwości zaistnienia takiego scenariusza,najwyraźniej wykorzystywanego w praktyce? Można oczywiściestwierdzić, że Netflix powinien lepiej weryfikować adresy e-mail iznać politykę kropki bez znaczenia, nie powinien teżwysyłać uwierzytelnionych linków, a żądać ponownego zalogowaniasię do konta.

Z drugiej jednak strony sam odkrywca tej próby oszustwa uważa żewinne jest Google – a my możemy mu tylko przyklasnąć. Pomysłunieważnienia kropki doprowadził do sytuacji, w której każdyużytkownik konta na Gmailu jest posiadaczem nieskończonej liczbyaliasów, o czym zwykle nie ma pojęcia. Otwiera to drogę dozupełnie nowej klasy nadużyć – mail jest wysłany nie zpodejrzanego adresu, lecz na podejrzany adres.

Google powinno w końcu wycofać się ze swojej dziwacznejpolityki i przyznać, że popełniło błąd. Korzystanie znieskończonej liczby aliasów jeśli w ogóle ma sens, to powinnobyć opcjonalne, a nie przymusowe. Dodatkowo interfejs Gmailapowinien ostrzegać przed wszelkimi mailami wysłanymi na nietypowąformę adresu.

Wspomniany Bruce Schneier pisze o sprawie na swoim blogu – iznacznie bardziej wstrzemięźliwie podchodzi do kwestii ocenyGoogle’a. Przepowiada też, że w przyszłości będzie jeszczegorzej, w miarę jak będziemy podłączali do siebie coraz więcejróżnych systemów informatycznych, będą pojawiały się właśnietakie podatne na nadużycia interakcje, których nikt wcześniej niemógł przewidzieć.

Nie jesteśmy w stanie zabezpieczyć się przed otrzymywaniem takich maili, jak ten który trafił do Jamesa Fishera. Możemy jednak zwiększyć bezpieczeństwo naszych danych i pieniędzy, stosując się do poniższych zaleceń:

• Uważnie sprawdzajmy, czy przychodzący na Gmaila mail nie przedstawia jako odbiorcy pełnej nazwy konta. Maile wysłane dokładnie na nasz adres będą w liście odbiorców pokazywały ja.
• Skorzystajmy z innego dostawcy poczty w celu komunikowania się z płatnymi usługami, takimi jak Netflix.
• Zmieniając dane karty kredytowej, sprawdźmy, czy faktycznie jesteśmy zalogowani do swojego konta w płatnej usłudze.