開発者は、Gmail の電子メール処理が Netflix 顧客を攻撃するための便利なフィッシング ベクトルを作成することを発見しました。
問題は、ほとんどのシステムと同様に、Netflix は電子メール ハンドル内のドットを認識しますが (つまり richardchirgwin と richard.chirgwin は異なるアカウントです)、Gmail は認識しないことです。
週末、開発者の James Fisher 氏は、ここで自身の体験を説明しています。彼は、Netflix から [email protected] 宛ての正当なメールを受け取りましたが、Gmail によってそのメールはドットのない彼のアカウントにリダイレクトされていました。
ほぼすべての点で本物:フィッシャーが受け取った電子メール
メールは正しい受信箱に届き、本当にNetflixから送られたものだったので、フィッシャー氏は詳細を更新するという要求を受け入れそうになったが、その「点線」のアカウントに紐づけられたクレジットカードには見覚えがなかった。
フィッシャー氏は、これがフィッシング攻撃の手口となると書いている。攻撃者が十分に努力すれば、すでに Gmail に登録されている Netflix アカウントを見つけ出し、Gmail アドレスにドットを追加して別のアカウントを登録できるのだ。
攻撃者が「使い捨て」のカード番号で登録し、その後カードをキャンセルした場合、Netflixは「本物の」Gmailアカウント所有者に有効なカードを要求するメールを送信します。受信者がカードの不一致に気付かずにカード情報を入力するだけで、攻撃者は誰かを騙してストリーミング料金を支払わせることができます。
セキュリティの第一人者ブルース・シュナイアー氏は、この問題は捉えにくいとコメントし、「セキュリティ上の脆弱性のない2つのシステムが組み合わさって、セキュリティ上の脆弱性を生み出した例だ」と述べた。
フィッシャー氏は、2つの解決策を提案した。1つは、GoogleがGmailユーザーに対し、電子メールが「非標準」のアドレスに送信されたことを目立つように警告すること、もう1つは、ユーザーが「ドットは関係ない」機能をオプトアウトできるようにすることだ。
彼は、この機能は廃止されるべきだと考えていると付け加えた。しかし、Googleはこれを便利な機能として宣伝している。®
