一个“点”引发的网络钓鱼骗局,欺骗Gmail用户竟如此简单

TRex 新闻 2018年4月12日发布

导语:Netflix的一封电子邮件可能形成网络钓鱼威胁。Google无法识别电子邮件地址中的“点”,从而为犯罪创造了机会。

最近,我收到了一封来自Netflix的电子邮件,这封邮件试图让我将银行卡信息添加到其他人的Netflix帐户中。文中我展示了这种新型的网络钓鱼骗局,它利用了Gmail的一个不起眼的功能“点(.)无关紧要”。然而我认为这些“点”确实很重要,而且Gmail的这个功能实际上是一个错误。最后我会提出一些Gmail团队将来可以用来打击此类诈骗的方法。首先,来看看电子邮件:

email.png

这封电子邮件真的来自netflix.com,所以我点击了链接。自动登录后来到“更新您的信用卡或借记卡”页面,该页面真正托管在netflix.com上。这里没有钓鱼。耐心等待,“更新”页面显示我的卡号为**** 2745,但是这个卡号我不认识。检查我的记录,我从来没有见过这个卡号。这是怎么回事?

我终于意识到这封电子邮件是给james.hfisher@gmail.com的。我通常使用的jameshfisher@gmail.com中没有点。你可能认为这封电子邮件应该被拒绝发送,但是它已经到达了我的收件箱,因为Gmail地址中并不重视这些“点”:

如果有人在向您发送电子邮件时不小心添加了点,您仍然会收到该电子邮件。例如,如果您的电子邮件地址为johnsmith@gmail.com,则您拥有所有版本带点的地址:

· john.smith@gmail.com

· jo.hn.sm.ith@gmail.com

· j.o.h.n.s.m.i.t.h@gmail.com

Netflix不知道Gmail的这个“功能”。从表面上看,jameshfisher@gmail.com和james.hfisher@gmail.com是不同的身份,并且应该有一一对应的Netflix账户。我在2013年注册了与jameshfisher@gmail.com绑定的Netflix帐户N1。但2017年9月,有人(不妨称她为Eve)创建了一个新的Netflix帐户N2,并与james.hfisher@gmail.com绑定。

由于Eve在注册时设置了密码,Eve有权访问帐户N2,但我也有权访问该帐户,因为我可以按照此帐户的密码重置过程进行操作,而且我成功的这样做了。

Eve喜欢看电视节目!她在六个月内收看了587个节目,全部来自她在阿拉巴马州的Android设备。她在10月份的一天里观看了三季Trailer Park Boys。她几乎每天都在消费,直到3月22日,当Netflix由于支付失败而使她的账户“搁置”时。 Eve为这些节目付出了代价,她每月支付13.99美元,直到2月份,她的卡**** 2745被拒付。

也许这都是一个巧合?也许Eve实际上另有他人,也许他在几个月前注册时输错了他的电子邮件地址。Netflix在注册时是不会进行任何电子邮件地址验证:你可以马上开始观看节目。

但也许这不是一个巧合,而是一个骗局。我差不点就要掉入支付Eve的Netflix费用的骗局,阻止我被骗的是被拒付的卡并不是我的卡。一般来说,这样的网络钓鱼骗局流程是:

1.查看Netflix注册表格,直到找到“已经注册”的gmail.com地址。假设你找到受害者jameshfisher。

2.创建地址为james.hfisher的Netflix帐户。

3.用一次性卡注册免费试用。

4.在Netflix“支付方式检查”通过后,取消卡片绑定。

5.等待Netflix为取消的卡发送账单。然后Netflix通过电子邮件向james.hfisher索要一张有效的卡。

6.希望Jim读了发送给james.hfisher的电子邮件,假定他的Netflix账户与jameshfisher绑定,然后输入他的卡片**** 1234。

7.将Netflix帐户的电子邮件更改为eve@gmail.com。

8.用Jim的卡**** 1234永远免费使用Netflix!

安全漏洞在哪里?有人会说这是Netflix的错:Netflix应在注册时验证电子邮件地址。但在注册时使用他人的地址只会将该帐户的控制权交给该人。也有人会说Netflix应该禁止注册james.hfisher@gmail.com,但这会使Netflix和其他所有网站都掌握Gmail邮箱地址标准的内幕。还有人会说,Netflix的“更新您的付款细节”电子邮件应强制手动登录,而不是使用经过自动验证的链接。

有人指责Netflix,但我认为主要问题在于Gmail,特别是Gmail的“点无关紧要”功能。该诈骗从根本上依靠Gmail用户对电子邮件进行响应,并假定它已发送到其规范地址,而不是其无限地址集中的其他地址。

一些Gmail 深度用户可能会声称:“点无关紧要”的功能非常棒。我获得了无限的电子邮件地址的所有权!但首先,没有人想要无限的电子邮件地址。那些真正想要无限地址的人已经拥有“+标签”功能:我也拥有jameshfisher+spam@gmail.com,jameshfisher+work@gmail.com等等。+标签具有类似的骗局潜力,但也有一些合法的使用案例。但我绝对不想要j.ame.s.h.fis.h.e.r@gmail.com,John Smith从来不想要jo.hn.sm.ith@gmail.com。每个Gmail用户都有一个他们认为属于自己的电子邮件地址,而其他的应该都是错的。

Gmail用户不仅不需要这些额外的地址,大多数人甚至都不知道他们有这些地址。我相信我的父母就不知道他们拥有无限的电子邮件地址。他们不会知道这一点,因为Google从来没有告诉过他们,这不是其他地方电子邮件的工作原理。即使是最具技术含量的Gmail用户,也会说“我的电子邮件地址”,而不是“我无限的电子邮件地址”。

即使那些知道他们有无限地址的Gmail用户也可能没有意识到这种暴露会带给他们的骗局。我们教人们由不良电子邮件地址引发的“网络钓鱼”,但我们没有教任何由于电子邮件地址自身引发的网络钓鱼。不过,结果是一样的:受害者失去了钱。

即使在极少数情况下,Gmail用户知道他们拥有无限的地址集,并且他们知道这可能会使他们受到网络钓鱼攻击,但该用户不太可能接受Gmail用户界面和收件箱没有任何提示的骗局。事实上,它甚至不承认电子邮件是一个非标准的地址。上面屏幕截图中唯一的线索是界面显示“to james.hfisher”,而不是“to me”。

Gmail小组应该打击这种网络钓鱼。他们应该正式承认“点不关紧要”是一种错误。事实上,Gmail团队承认,当他们在2008年发布该功能时,“点无关紧要”的事情就会“造成混乱”。每个Google帐户都应该配置一个变体作为其标准地址;我会设置jameshfisher@gmail.com作为标准,也许John会将标准设置为john.smith@gmail.com。如果电子邮件发送到非标准地址,则应该显示警告:

better.png

最后,Gmail用户应该能够选择不使用“点无关紧要”。我希望发送到james.hfisher@gmail.com的所有邮件能够反弹而不是到达我的收件箱。默认情况下,任何新的Google帐户都应禁用“点无关紧要”功能,之后退出。

后续进展

· Bruce Schneier’s analysis.

· The Hacker News post.

· Twitterers twittering on Twitter, including some Google/Netflix engineers.

本文翻译自:https://jameshfisher.com/2018/04/07/the-dots-do-matter-how-to-scam-a-gmail-user.html如若转载,请注明原文地址: http://www.4hou.com/info/news/11055.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论