Un desarrollador ha descubierto que el manejo del correo electrónico de Gmail crea un práctico vector de phishing para atacar a los clientes de Netflix.
El problema es que Netflix, como la mayoría de servicios, reconoce puntos en los identificadores de correo electrónico (por ejemplo, richardchirgwin y richard.chirgwin los maneja como cuentas diferentes), pero Gmail no los reconoce.
El desarrollador ha descrito una experiencia donde recibió un correo electrónico aparentemente legítimo de Netflix dirigido a james.hfisher@gmail.com que Gmail redirigió a su cuenta sin puntos. Como el correo electrónico llegó a la bandeja de entrada correcta y dado que realmente provenía de Netflix, Fisher estuvo a punto de aceptar su solicitud de que actualizara sus datos, excepto que no reconoció la tarjeta de crédito adjunta.
Ello crea un vector para ataques de phishing de la siguiente manera: un atacante puede encontrar una cuenta de Netflix cuyo registro de Gmail ya exista y puede registrar otra cuenta con un punto extra en la dirección de Gmail. Si el atacante se registra con un número de tarjeta "desechable" y luego cancela la tarjeta, Netflix enviará un correo electrónico al titular de la cuenta "real" de Gmail solicitando una tarjeta válida. Solo necesita que el destinatario lo haga sin notar una discrepancia.
El experto en seguridad Bruce Schneier comenta que el problema es sutil: "Es un ejemplo de dos sistemas sin vulnerabilidad de seguridad que se unen para crear una vulnerabilidad de seguridad".
Los analistas apuntan soluciones. Que Netflix verifique la dirección de correo electrónico al registrarse y especialmente que Google advierta al usuario de Gmail que se envió un correo electrónico a una dirección "no estándar". En el aire, que Google permita a los usuarios no participar en la característica "no importa el punto" en las direcciones del correo electrónico. Útil en algunos casos, pero problemáticas por lo que hemos visto en este caso.
Finalmente, seguir recomendando atención máxima ante los intentos de phishing, junto al ransonware, entre los ataques de malware más rentables de la ciberdelincuencia. Netflix es uno de los servicios de alto impacto que está en el punto de mira de los atacantes en las campañas de phishing para obtener los datos de los usuarios.
___________________________________________________________
Se Respetan Derechos de Autor.