Android 28 Mar
Uma vulnerabilidade na Netflix descoberta pelo especialista em segurança digital James Fisher permite que uma conta da plataforma de streaming seja hackeada. Ela acontece devido às diferenças entre o Gmail e a Netflix na forma de lidar com endereços de email.
Mais especificamente, o Gmail ignora os pontos nos endereços. Por exemplo, o email "bruce.schneier@gmail.com" é considerado pelo serviço como o mesmo que "bruceschneier@gmail.com". Também é a mesma coisa que escrever "b.r.u.c.e.schneier@gmail.com", e assim por diante.
Mas a Netflix não ignora os pontos, então cada um dos exemplos acima são considerados como emails diferentes na plataforma, e eles podem ser usados para registrar uma conta. Essa diferença é o que permite um golpe malicioso.
Assim, o pesquisador descreve como a técnica de phishing pode ser usada para ter uma conta da Netflix paga por outra pessoa. O golpista pode criar uma conta semelhante a de um assinante válido da Netlix, usando um cartão descartável. Depois e a Netflix aplicar a verificação do cartão, o golpista pode cancela-lo.
Basta então esperar que a Netflix fature o cartão cancelado e envie um e-mail pedindo um cartão válido - a mensagem será recebida pela vítima, não pelo golpista. Ao contrário deste outro golpe de phishing, a mensagem eletrônica é genuinamente enviada pela Netflix. Por isso, mesmo que os usuários estranhem o pedido de confirmar o número do cartão, é improvável que desconfiem de algo errado acontecendo.
Se a vítima cair no golpe e inserir seu número de cartão, resta para o hacker a alteração do e-mail de cadastro da conta para obter acesso total à assinatura, que será sempre cobrada na fatura da vítima.
Até então, a Netflix não tinha conhecimento sobre esse "recurso" do Gmail, que faz com que o serviço do Google ignore os pontos. Externamente, o endereço do pesquisador, jameshfisher@gmail.com, e o endereço james.hfisher@gmail.com são diferentes e devem ter suas próprias contas Netflix. Ele se cadastrou na plataforma de streaming em 2013, mas em setembro de 2017 alguém criou uma nova conta usando o segundo endereço, com o ponto.
Ele ainda conta que a pessoa que aplicou o golpe em sua conta assistiu a 587 títulos em seis meses, em seu dispositivo Android, no Alabama. A Netflix não faz nenhuma verificação de endereço de e-mail quando você se cadastra, então você pode começar a assistir às séries e filmes imediatamente.
Mas após o cartão do golpista ter sido cancelado, o pedido da Netflix para confirmar o número do cartão foi enviado para james.hfisher@gmail.com, mas caiu na caixa de entrada de jameshfisher@gmail.com - o endereço real do pesquisador de segurança.
Para sua sorte, James verificou os números do cartão cancelado e percebeu o golpe. Ele ainda cogita que talvez tenha sido tudo um erro de digitação por parte da outra pessoa quando ela criou seu cadastro.
Seja como for, vale ficar atento caso a Netflix peça via e-mail para que você confirme o número do seu cartão. Embora seja um e-mail autêntico da empresa, você pode acabar beneficiando a conta de uma outra pessoa.
Comentários