משתמשי נטפליקס? האקרים יכולים לחגוג לכם על החשבון

הונאה חדשה בג'ימייל מאפשרת לעבריינים להשיג גישה לחשבונות משתמש בנטפליקס. היא מתבססת על שימוש יצירתי מאוד בליקוי אבטחה בג'ימייל, שמאפשר להניח יד על פרטי אשראי וחשבונות נטפליקס.

את ניסיון ההונאה חשף המפתח האמריקאי ג'יימס פישר, שכמעט נפל בה בעצמו. הוא בדק את מקור ההודעה וגילה שאינו מקושר לנטפליקס - וגילה פרצה דרכה ניסו העבריינים לקבל גישה לחשבון שלו. הפרצה נובעת מכך שג'ימייל מאפשרת לבעלי חשבונות לקבל מיילים גם מכתובת שכוללת נקודה.

ממשק נטפליקס | צילום: בלומברג

למשל, בעל המייל israelisraeli@gmail.com יקבל מיילים שיישלחו לכתובת israel.israeli@gmail.com כאילו מדובר באותו הנמען. משתמשים רבים נרשמים לנטפליקס עם כתובת מייל פרטית, שמשמשת להזדהות מול השירות. נוכלים שיירשמו לנטפליקס עם מייל שכולל נקודה, יסווגו כבעלי חשבון נפרד. לפי שיטה זו, יכול כל מי שיודע את המייל שלכם לפתוח בשמכם חשבון נטפליקס ואז לדוג דרכו את מספר האשראי שלכם.

הפושע ייפתח חשבון ויזין כרטיס אשראי נטען ויבטל אותו לאחר שנטפליקס תוודא שמדובר בכרטיס לגיטימי. בניסיון הסליקה הבא של נטפליקס תקבלו הודעה מהחברה עצמה לפיה יש להזין מחדש את כרטיס האשראי. הקורבן יכול לחשוב בקלות שמדובר בבקשה לגיטימית - ולהעניק כך להאקר גישה לנטפליקס על חשבונו. מומחי אבטחה בקבוצת הסייבר DC9723 בפייסבוק בחנו את הליקוי וחיזקו את דברי פישר: מדובר בפרצה שרירה וישימה.

פישר עצמו האשים את גוגל במחדל, אך קשה להתעלם מאחריותה של נטפליקס: אם היתה ענקית הסטרימינג משלבת אימות דו-שלבי מבוסס הודעת SMS בשלב עדכון פרטי התשלום, לא היה ניתן לחטוף את החשבון.

בעקבות פניית "כלכליסט", מסרה נטפליקס: "אנו מודעים לתכונה זו של ג'ימייל ופועלים לנקיטת צעדים שיאפשרו להגן מפני שימוש זדוני בה כלפי נטפליקס ומשתמשיה"

מקרה זה מהווה תזכורת לכל משתמש שמקבל הודעת מייל שמבקשת פרטי תשלום חדשים או מידע אודות אמצעי תשלום קיימים: האקרים נשענים על הנטייה להעביר מידע ברשת ללא מחשבה שנייה, מה שגורם לאינספור גולשים ליפול קורבן להונאות. חישדו בכל מייל שכזה ואל תהססו לפנות לחברות מטעמן נשלחו ההודעות לאימות לגיטימיות הבקשה.