אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
משתמשי נטפליקס? האקרים יכולים לחגוג לכם על החשבון צילום: בלומברג

משתמשי נטפליקס? האקרים יכולים לחגוג לכם על החשבון

הונאה מקוונת חדשה מאפשרת לפושעי סייבר לקבל גישה לחשבונות נטפליקס בחינם, בגלל פרצת אבטחה משונה בג'ימייל. לאחר פניית "כלכליסט", הודיעה נטפליקס שהחברה מודעת לליקוי ופועלת לתיקונו

09.04.2018, 17:28 | רפאל קאהאן

הונאה חדשה בג'ימייל מאפשרת לעבריינים להשיג גישה לחשבונות משתמש בנטפליקס. היא מתבססת על שימוש יצירתי מאוד בליקוי אבטחה בג'ימייל, שמאפשר להניח יד על פרטי אשראי וחשבונות נטפליקס.

קראו עוד בכלכליסט

את ניסיון ההונאה חשף המפתח האמריקאי ג'יימס פישר, שכמעט נפל בה בעצמו. הוא בדק את מקור ההודעה וגילה שאינו מקושר לנטפליקס - וגילה פרצה דרכה ניסו העבריינים לקבל גישה לחשבון שלו. הפרצה נובעת מכך שג'ימייל מאפשרת לבעלי חשבונות לקבל מיילים גם מכתובת שכוללת נקודה.

ממשק נטפליקס, צילום: בלומברג ממשק נטפליקס | צילום: בלומברג ממשק נטפליקס, צילום: בלומברג

למשל, בעל המייל israelisraeli@gmail.com יקבל מיילים שיישלחו לכתובת israel.israeli@gmail.com כאילו מדובר באותו הנמען. משתמשים רבים נרשמים לנטפליקס עם כתובת מייל פרטית, שמשמשת להזדהות מול השירות. נוכלים שיירשמו לנטפליקס עם מייל שכולל נקודה, יסווגו כבעלי חשבון נפרד. לפי שיטה זו, יכול כל מי שיודע את המייל שלכם לפתוח בשמכם חשבון נטפליקס ואז לדוג דרכו את מספר האשראי שלכם.

הפושע ייפתח חשבון ויזין כרטיס אשראי נטען ויבטל אותו לאחר שנטפליקס תוודא שמדובר בכרטיס לגיטימי. בניסיון הסליקה הבא של נטפליקס תקבלו הודעה מהחברה עצמה לפיה יש להזין מחדש את כרטיס האשראי. הקורבן יכול לחשוב בקלות שמדובר בבקשה לגיטימית - ולהעניק כך להאקר גישה לנטפליקס על חשבונו. מומחי אבטחה בקבוצת הסייבר DC9723 בפייסבוק בחנו את הליקוי וחיזקו את דברי פישר: מדובר בפרצה שרירה וישימה.

פישר עצמו האשים את גוגל במחדל, אך קשה להתעלם מאחריותה של נטפליקס: אם היתה ענקית הסטרימינג משלבת אימות דו-שלבי מבוסס הודעת SMS בשלב עדכון פרטי התשלום, לא היה ניתן לחטוף את החשבון.

בעקבות פניית "כלכליסט", מסרה נטפליקס: "אנו מודעים לתכונה זו של ג'ימייל ופועלים לנקיטת צעדים שיאפשרו להגן מפני שימוש זדוני בה כלפי נטפליקס ומשתמשיה"

מקרה זה מהווה תזכורת לכל משתמש שמקבל הודעת מייל שמבקשת פרטי תשלום חדשים או מידע אודות אמצעי תשלום קיימים: האקרים נשענים על הנטייה להעביר מידע ברשת ללא מחשבה שנייה, מה שגורם לאינספור גולשים ליפול קורבן להונאות. חישדו בכל מייל שכזה ואל תהססו לפנות לחברות מטעמן נשלחו ההודעות לאימות לגיטימיות הבקשה.

שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות

16 תגובות לכתיבת תגובה לכתיבת תגובה

16.
ל 15 .. למה כל דבר צריך לאמת בסלולר ?
אם כל תשלום יצטרך להיות תלוי באימות SMS כל המסחר באונליין הולך למקום לא טוב. בכלל SMS זה דבר שצריך לעבור מהעולם ... צריך למצוא דרך לאימות אונליין כי לפעמים ל SMS לוקח זמן להגיע .. ולפעמים המספר פשוט לא זמין (אם למשל נמצאים בחו"ל) אימות לאחר רישום באמצעות MFA באפליקציה עדיף בהרבה אבל לא יחליף SMS .. צריך משהו אחר. לפי מה שמתואר יש פה שילוב של בעיה בגוגל (אם הם באמת לא מתייחסים לנקודה בשם כתו לכל דבר זו בעיה. זה נשמע לי הזוי ומופרך ... אבל זה מה שכתוב בכתבה) אגב, לדעתי אפשר לעשות מנוי בנטפליקס באמצעות רכישה בתוך האפליקציה כלומר - תשלום דרך גוגל כך שמי שמודאג יכול לעבור לצורת תשלום כזו.
ל  |  11.04.18
15.
הבעיה לא בגוגל ולא באימות דו שלבי
לדעתי, הבעיה לא בגוגל ולא באימות דו שלבי. הבעיה המהותית היא שבשלב הרישום האימייל לא מאומת. מובן מהסיפור שגם הסלולרי לא מאומת בזמן הרישום, ולכל האימות הדו שלבי בזמן עדכון האשראי לא כ''כ יעזור - ניתן לתת בזמן הרישום את הסלולרי של הקרבן (קצת יותר קשה להשיג את המידע, אבל אפשרי). לעומת זאת אם בזמן *הרישום* - בתחילת התהליך - האימייל והסלולרי היו מאומתים - זה לא היה קורה.
אפרים  |  11.04.18
14.
די עם אימות דו שלבי ב SMS
אימות דו שלבי עם ברקוד שמחולל קוד שמשתנה בכל חצי דקה בתוכנת authenticator כלשהי עדיף בהרבה גוגל, מיקרוסופט, אמאזון ועוד הרבה חברות מאפשרות את זה - אפשר להתשמש בשלל אפליקציות שמחוללות את הקודים האלו וזה פי 1000 יותר נח מ SMS שתלוי ברשת הסלולר ולא תמיד רלוונטי (למשל אם נמצאים בחו"ל)
מ  |  10.04.18
13.
לא מבין . א. למה זה קשור רק לנטפליקס. וב. איך בדיוק פרטי האשראי עוברים
הכל כמובן אם הבנתי נכון ... א. התיאור שמדובר בכתבה יכול להתבצע בעוד שרותים .. ואם זה נכון אז חמור מאד שגוגל לא מתקנים בעיה כל כך חמורה. נקודה זה תו לכל דבר ושימוש בו הופך את כתובת המייל לאחרת לגמרי. ב. לפי מה שכתוב בכתבה המייל שמבקש עדכון פרטים הוא מייל אמיתי מנטפליקס.. כלומר הוא מפנה אותנו לעדכן פרטי כרטיס אשראי במנוי שלמעשה לא שלנו. גם אם משתמש מקליד את המייל - הפושע, והרמאי (כך צריך לכנות אותם) יכול לראות רק 4 ספרות אחרונות ולא את כל הכרטיס ולכן כל החגיגה מסתכמת בזה שהנעקץ משלם מנוי למישהו אחר. עדין כמובן זה חמור מאד ונטפליקס וגוגל צריכים לטפל בזה. אימות דו שלבי זה נהדר, אבל למה מ SMS ולא באוטנטיקייטור ? הרבה יותר נח.
צ  |  10.04.18
12.
חייבים להכריח אימות דו שלבי בSMS
כן..זה לא יחסום הכל, ובעיקר לא אם גוף רציני ממש רוצה לפרוץ לך את החשבון. זה כן יחסום אבל את הרוב המוחלט של הפריצות העיוורות ברשת. כאלה שמתבססות על הטמטום של המשתמשים שלא מקדישים רגע לקרוא דברים לפני שלוחצים וי ואישור על כל דבר.
ערן רוכסן  |  09.04.18
לכל התגובות