Tietoturva

Käytätkö Gmailia ja Netflixiä? Varo ovelaa huijausta

Julkaistu:

Huijaus
Huijarit ovat keksineet keinon saada varomattomat Gmailin käyttäjät maksamaan Netflix-katselunsa.
Sekä Netflix-videopalvelua että Gmail-sähköpostia käyttävien on syytä varoa viestejä, joissa pyydetään päivittämään laskutustiedot. Muistutusviestit ovat todella Netflixiltä, mutta varomaton Gmailin käyttäjä voi erehtyä maksamaan jonkun muun Netflix-katselua, varoittaa huijaukseen melkein haksahtanut yhdysvaltalainen James Fisher.

Fisher sai Gmail-sähköpostiosoitteeseensa Netflixiltä viestin laskutusongelmasta. Viesti kehotti häntä tarkistamaan maksutietonsa. Fisher seurasi sähköpostissa olevaa linkkiä, joka todella vei Netflixin verkkosivuille.

Erikoista näytti olevan ainoastaan se, että laskutustiedoissa luottokortin numero oli näkyvissä olevien neljän viimeisen numeron perusteella vaihtunut täysin tuntemattomaksi kortiksi.

Viimein Fisher huomasi pienen eron tilin käyttäjän sähköpostiosoitteessa. Fisherin omassa Gmail-sähköpostissa ei ole lainkaan pistettä, kun taas Netflix-tilin omistajan sähköpostissa etu- ja sukunimen välillä oli piste.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Googlen Gmail-sähköpostipalvelun erikoisuus on, ettei se ota osoitteissa pisteitä lainkaan huomioon. Niinpä matti.meikalainen@gmail.com on Gmailissa sama kuin mattimeikalainen@gmail.com tai vaikka ma.ttimeik.a.lainen@gmail.com.

Sen sijaan joku oli rekisteröitynyt pistettä käyttävällä Gmail-osoitteella Netflixiin käyttäen väliaikaista luottokorttia. Koska Netflix ottaa pisteet huomioon, palvelu ei huomauttanut, että käyttäjä on rekisteröitymässä samalla osoitteella kuin Fisher.

Kun luottokortti lopetettiin, Netflix alkoi muistuttaa Fisheriä laskutustiedoista.

Tietoturva-asiantuntija Bruce Schneierin mukaan ongelma aiheutuu kahdesta turvallisesta järjestelmästä, jotka keskenään aiheuttavat tietoturva-aukon.

Googlen pisteettömyyden lisäksi aukkoon vaikuttaa se, ettei Netflix rekisteröitymisen yhteydessä tarkista käyttäjän sähköpostiosoitetta ennen tilin avaamista, vaan käyttäjä voi aloittaa katselun saman tien.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt